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这 是 一 本 关于 Docker 的 图 书 。 本 书 的 
Docker， 因 此 读者 无 须 任何 前 置 知 识 储备 。 

本 书 非 常 适合 对 Docker 感 兴趣 ， 硕 望 了 解 Docker 工 作 原 理 以 及 如 
何 正确 使 用 Docker 的 读者 。 
习 Docker 的 使 用 方法 ， 而 不 关心 其 内 部 实现 机 制 ， 则 


如 有 果 只 是 学 
本 书 并 不 适合 。 
Docker 认 证 工程 师 (Docker Certified 


Associate) 
Docker 于 2017 年 秋 发 布 了 第 1 版 专业 资质 认证 ， 称 为 Docker 认 证 工 
程 师 (Docker Certified Associate, DCA) ， 面 向 想 要 评估 自身 Docker 管 


理 水 平 的 人 群 。 
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本 书 窗 盖 了 认证 考试 的 所 有 知识 点 ， 但 本 书 并 非 应试 书 ， 而 是 一 


本 易于 阅读 的 实用 技术 图 书 。 
祝愿 读者 考试 顺利 ! 
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并 无 冒犯 Leanpub 和 亚马逊 Kindle 之 意 。 所 以 ， 本 书 的 英文 纸 质 版 本 在 
Wiha (并 非 黑白 版 ，。 
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说 到 亚马逊 ， 我 非常 希望 收 到 读者 在 亚马逊 上 对 本 书 的 评价 ， 当 
然 也 包括 在 Leanpub 上 购买 本 书 的 读者 的 评价 。 感 谢 ! 
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为 什么 要 阅读 本 书 ， 为 什么 要 关注 Docker 


如 今 Docker 无 处 不 在 ， 这 是 不 争 的 事实 。 开 发 人 员 都 很 喜欢 它 ， 
运 维 工程 师 也 需要 它 。 他 们 都 需要 深入 了 解 如 何在 关键 业务 环境 中 构 
建 和 维护 符合 生产 级 别 要 求 的 容器 化 应 用 ， 本 书 将 帮助 读者 掌握 它 。 


Docker 仅 能 供 开 发 人 员 所 用 吗 


对 于 认为 Docker 是 开发 人 员 专 属 工具 的 人 来 说 ， 翁 怕 要 准备 好 由 
敌 目 己 的 认 知 了 。 


容器 化 应 用 需要 有 地 方 运行 ， 也 需要 有 人 来 管理 。 如 果 认为 只 是 
开发 人 员 来 管理 它 ， 那 就 大 错 特 错 了 ， 事 实 上 运 维 需要 构建 和 运行 高 
性 能 、 生 产 级 别 的 Docker 基 础 架构 。 对 于 专注 于 运 维 工作 却 尚 未 掌握 
Docker 的 朋友 来 说 ， 日 子 恐 怕 不 太 好 过 。 不 过 不 必 焦 虑 ， 本 书 将 帮 你 
掌握 Docker 。 


内 容 组 织 


本 书 分 为 两 部 分 。 


© Docker 概 览 篇 : 本 篇 介绍 Docker 公 司 (Docker, Inc.) ` Docker 

(Moby) 项 目 、 什 么 是 OCI、 为 什么 需要 容器 等 。 如 果 读 者 想 要 
对 Docker 和 和 容器 有 一 个 全 面 的 了 解 ， 则 需要 阅读 这 些 内 容 。 
Docker 技 术 篇 : 本 篇 是 全 书 的 主要 内 容 ， 包 售 了 掌握 Docker 所 需 
的 所 有 知识 。 这 部 分 会 详细 介绍 镜像 、 容 絮 ， 以 及 越 来 越 重 要 的 
关于 编排 的 知识 。 此 外 ， 本 书 甚至 还 介绍 了 企业 应 用 中 比较 关心 
的 技术 ， 比 如 TLS、RBAC、 与 AD 的 集成 ， 以 及 备份 。 读 者 不 仅 
还 能 够 参考 本 书 给 出 的 命令 和 例子 
ET BK 2 


Docker 拉 术 篇 的 多 数 草 市 都 可 以 分 为 3 个 部 分 一 一 人 简介、 详解 和 命 


“详解 ?部 分 会 详细 介绍 工作 原理 ， 并 配 有 示例 的 介绍 。 
“命令 ?部 分 会 以 一 种 易于 阅读 的 方式 列 出 所 有 相关 命令 及 其 侧 要 


E 够 喜欢 这 种 方式 。 
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本 书 由 异步 社区 出 品 ， 社 区 Chttps://www.epubit.com/) 为 您 提供 
相关 资源 和 后 续 服务 。 


配套 资源 


本 书 提供 如 下 资源 : 
本 书 配套 资源 请 到 异步 社区 本 书 购买 页 处 下 载 。 


要 获得 以 上 配套 资源 ， 请 在 异步 社区 本 书页 面 中 点 击 EEE 
跳 转 到 下 载 界面 ， 按 提示 进行 操作 即 可 。 注 意 : 为 保证 购书 读者 的 权 
益 ， 该 操作 会 给 出 相关 提示 ， 要 求 输入 提取 码 进行 验证 。 


提交 勘误 


作者 和 编辑 尽 最 大 努力 来 确保 书 中 内 容 的 准确 性 ， 但 难免 会 存在 
玖 着 。 欢 迎 您 将 发 现 的 问题 反馈 给 我 们 ， 帮 助 我 们 提升 图 书 的 质量 。 


当 您 发 现 错误 时 ， 请 登录 异步 社区 ， 按 书 名 搜索 ， 进 入 本 书页 
面 ， 点 击 “ 提 区 勘误 ”， 输 入 勘误 信息 ， 点 击 “ 提 区 ?按钮 即 可 。 本 书 的 
作者 和 编辑 会 对 您 提交 的 勘误 进行 审核 ， 确 认 并 接受 后 ， 您 将 获 赠 异 
步 社 区 的 100 积 分 。 积 分 可 用 于 在 异步 社区 兑换 优惠 券 、 样 书 或 奖品 。 


与 我 们 联系 


我 们 的 联系 邮箱 是 contact@epubit.com.cn。 


如 果 您 对 本 书 有 任何 疑问 或 建议 ， 请 您 发 邮件 给 我 们 ， 并 请 在 邮 
件 标 题 中 注 明 本 书 书 名 ， 以 便 我 们 更 高 效 地 做 出 反馈 。 


如 果 您 有 兴趣 出 版 图 书 、 录 制 教学 视频 ， 或 者 参与 图 书 翻译 、 技 
术 审 校 等 工作 ， 可 以 发 邮件 给 我 们 ;有意 出 版 图 书 的 作者 也 可 以 到 异 
人 (直接 访问 www.epubit.com/selfpublish/submission 
BURT) 。 


如 果 您 是 学 校 、 培 训 机 构 或 企业 ， 想 批量 购买 本 书 或 异步 社区 出 
版 的 其 他 图 书 ， 也 可 以 发 邮件 给 我 们 。 


如 果 您 在 网 上 发 现 有 针对 异步 社区 出 品 图 书 的 各 种 形式 的 盗版 行 
为 ， 包 括 对 图 书 全 部 或 部 分 内 容 的 非 授 权 传 播 ， 请 您 将 怀疑 有 侵权 行 
为 的 链接 发 邮件 给 我 们 。 您 的 这 一 举动 古 对 作者 权益 的 保护 ， 也 古 我 
们 持续 为 您 提供 有 价值 的 内 容 的 动力 之 源 。 


关于 异步 社区 和 异步 图 书 


“异步 社区 ”是 人 民 邮 电 出 版 社 旗下 IT 专业 图 书社 区 ， 致 力 于 出 版 
精品 IT 技术 图 书 和 相关 学 习 产品 ， 为 作 译 者 提供 优质 出 版 服务 。 异 步 
社区 创办 于 2015 年 8 月 ， 提 供 大 量 精品 IT 技术 图 书 和 电子 书 ， 以 及 高 品 
质 技术 文章 和 视频 谍 程 。 更 多 详情 请 访问 异步 社区 官网 
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辑 团 队 ， 相 关 图 书 在 封面 上 印 有 异步 图 书 的 LOGO。 异 步 图 书 的 出 版 
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本 章 主 要 向 读者 介绍 如 下 内 容 。 


。 容 器 为 什么 出 现 。 
。 容 器 的 作用 。 
。 容 器 的 应 用 场景 。 


1.1 落后 的 旧时 代 


业务 是 基于 应 用 (Application) 运转 的 。 如 有 果 应 用 出 现 故 障 ， 业 
务 也 殴 无 法 正常 运行 ， 甚 至 会 导致 商业 公司 的 破产 。 这 种 情况 是 真实 
的 ， 甚 至 每 天 都 在 发 生 。 


大 部 分 应 用 是 运行 在 服务 器 之 上 的 。 曾 经 ， 每 个 服务 器 只 能 运行 
单一 应 用 。Windows 和 Linux 操 作 系统 都 没有 相应 的 技术 手段 来 保证 在 
一 台 服务 器 上 稳定 而 安全 地 同时 运行 多 个 应 用 。 


在 那个 时 代 ， 经 常会 出 现 这 样 一 幕 ， 每 次 业务 部 门 想 要 增加 一 个 
新 的 应 用 时 ，IT 部 门 就 需要 去 采购 一 个 新 的 服务 占 。 大 部 分 情况 下 ， 
没有 人 知道 新 增 应 用 所 需 的 服务 硕 性 能 究竟 是 怎样 的 ， 这 意味 着 IT 部 
门 需要 和 凭借 经 验 去 猜测 所 购 严 的 服务 器 型 号 和 规格 。 


因此 ，IT 部 门 在 采购 的 时 候 束 不 得 不 买 那些 性 能 大 幅 优 于 业务 需 
求 的 服务 大 。 毕 竞 无 论 是 IT 部 门 还 是 业务 部 门 ， 都 不 想 看 到 服务 大 性 
能 不 足 的 情况 出 现 。 因 为 服务 右 性 能 不 足 ， 可 能 会 导致 菜 些 交 易 失 
败 ， 而 交易 失败 会 使 得 公司 客户 流失 、 收 益 下 降 ， 所 以 IT 部 门 通常 采 
购 的 都 是 更 大 、 更 好 的 服务 器 。 这 种 做 法 导致 了 大 部 分 服务 名 长 期 运 
行 在 他 们 额定 负载 5%~10% 的 水 平 区 间 之 内 。 这 对 公司 痪 产 和 资源 是 
一 种 极 大 的 浪费 | 


1.2 (Re, VMware! 


为 了 解决 上 面 的 问题 ，VMware 公 司 给 全 世界 带 来 了 一 个 礼物 
一 虚拟 机 (VM) 。 然 后 几乎 是 一 夜 之 间 ， 世 界 就 变 得 美好 了 ! 人 
们 终于 所 有 了 一 种 许多 应 用 能 够 稳定 、 安 全 地 同时 运行 在 一 个 服务 
器 中 的 技术 。 


虚拟 机 是 一 种 具有 划时代 意义 的 技术 ! 每 当 业 务 部 门 需要 增加 应 
用 的 时 候 ，IT 部 门 无 须 采购 新 的 服务 右 。 取 而 代 之 的 是 ，IT 部 门 会 笑 
试 在 现 有 的 ， 并 且 有 空 内 性 能 的 服务 右上 部 车 新 的 应 用 。 


突然 之 间 ， 人 们 发 现 这 种 技术 能 够 让 现 有 的 资产 (如 服务 器 拥 
有 更 大 的 价值 ， 从 而 最 终 为 公司 市 省 大 量 的 资金 文 出 。 


1.3 ”虚拟 机 的 不 足 


但 是 .…… 总 有 这 人 么 一 个 但 是 ! 束 连 VM 这 么 伟大 的 技术 ， 也 远 未 
做 到 十 全 十 美 ! 


实际 上 ， 虚 拟 机 最 大 的 缺点 就 是 依赖 其 专用 的 操作 系统 (OS) 。 
OS 会 占用 额外 的 CPU、RAM 和 存储 ， 这 些 资 源 本 可 以 用 于 运行 更 多 的 
应 用 。 每 个 OS 都 需要 补丁 和 监控 。 男 外 在 某 些 情况 下 ，OS 需 要 许可 
证 才能 运行 。 这 对 运营 成 本 (OPEX) 和 资金 性 支出 (CAPEX) 都 是 
一 种 浪费 。 

虚拟 机 技术 也 面临 着 一 些 其 他 挑战 。 比 如 虚拟 机 局 动 通常 比较 


慢 ， 并 且 可 移植 性 比较 差 一 一 虚拟 机 在 不 同 的 虚拟 机 管理 需 
(Hypervisor) 或 者 云 平台 之 间 的 迁移 要 远 比 想象 中 困难 。 


1.4 你 好 ， 容 器 ! 


长 期 以 来 ， 像 谷歌 (Google) 这 样 的 大 规模 Web 服 务 (Big Web- 
Scale) 玩家 一 直 采 用 容器 (Container) 技术 解决 虚拟 机 模型 的 缺点 。 


容器 模型 其 实 跟 虚拟 机 模型 相似 ， 其 主要 的 区 别 在 于 ， 容 絮 的 运 
行 不 会 独占 操作 系统 。 实 际 上 ， 运 行 在 相同 宿主 机 上 的 容 需 是 共享 一 
个 操作 系统 的 ， 这 样 束 能 够 节省 大 量 的 系统 资源 ， 如 CPU、RAM 以 及 
存储 。 容 右 同 时 还 能 广 省 大 量 伦 费 在 许可 证 上 的 开销 ， 以 及 为 OS 打 补 
丁 等 运 维 成 本 。 最 终结 果 束 是 ， 容 右 广 省 了 维护 成 本 和 资金 成 本 。 


同时 容器 还 具有 启动 快 和 便于 迁移 等 优势 。 将 容器 从 笔记 本 电脑 
于 移 到 去 上， 之 后 再 寺 移 到 数据 中 心 的 虚拟 机 或 者 物理 机 之 上 ， 者 是 
很 简单 的 事情 。 


1.5 Linux? 


现代 的 容 厚 技术 起 源 于 Linux， 古 很 多 人 长 期 努力 持续 页 献 的 产 
H o NF, Google LLC 束 页 献 了 很 多 容器 相关 的 技术 到 Linux 内 核 
当中 。 没 有 大 家 的 页 献 ， 束 没有 现在 的 容 右 。 


近 几 年 来 ， 对 容器 发 展 影响 比较 大 的 技术 包括 内 核 命名 空间 
(Kernel Namespace) 、 控制 组 (Control Group) 、 联合 文件 系统 
(Union File System) ， 当 然 更 少不了 Docker 。 再 次 强调 一 遍 ， 当 今 

的 容器 生态 环境 很 大 程度 上 受益 于 强大 的 基金 会 ， 而 基金 会 是 由 很 多 
独立 开发 者 以 及 公司 组 织 共同 创建 并 维护 的 。 感 谢 你 们 ! 


虽然 容器 技术 已 经 如 此 出 色 ， 但 对 于 大 部 分 组 织 来 说 ， 容 器 技术 
的 复 洒 度 是 阻止 其 实际 应 用 的 主要 原因 。 直 到 Docker 技 术 横 空 出 世 ， 
容器 才 真 正 被 大 众 所 接受 。 


有 很 多 跟 容器 类 似 的 操作 系统 虚拟 化 技术 要 早 于 Docker 和 现代 容器 技术 出 现 ， 
有 些 甚 至 可 以 追溯 到 大 型 机 上 的 System/360 操 作 系 统 当 中 。BSD Jails 和 Solaris Zones 
也 是 在 类 UNIX 操 作 系统 上 众所周知 的 容器 化 技术 。 但 本 书 讨论 内 容 范围 主要 会 限制 
在 由 Docker 主 导 的 现代 容器 技术 之 中 。 


1.6 KF, Docker! 


本 书 会 在 第 2 革 中 讨论 更 多 有 天 Docker 的 细节 。 但 在 这 里 ， 不 得 不 
感 跑 Docker 确 实 古 使 Linux 容 右 技 术 得 到 广泛 应 用 的 技术 。 换 个 角度 来 
说 ， 是 Docker 这 家 公司 使 容器 变 得 人 简单。 


1.7 Windows 容 器 


在 过 去 的 几 年 中 ， 微 软 (Microsoft Corp.) 致力 于 Docker 和 容器 技 
术 在 Windows 平 台 的 发 展 。 


在 本 书 成 稿 之 际 ，Windows 容 需 已 经 能 在 Windows 10 和 Windows 
Server 2016 平 台 上 使 用 了 。 为 了 实现 这 个 目标 ， 微 软 跟 Docker 公 司 、 
社区 展开 了 深入 合作 。 


实现 容 絮 所 需 的 核心 Windows 内 核 技 术 被 统称 为 Windows 容 屁 
(Windows Container) 。 用 户 空间 是 通过 Docker 来 完成 与 Windows 容 
器 之 间 交 互 的 ， 这 使 得 Docker 在 Windows 平 台 上 的 使 用 体验 跟 在 Linux 
上 几乎 一 致 。 那 些 熟悉 Linux Docker 工 具 的 研发 人 员 和 系统 管理 员 ， 

在 切换 到 Windows 容 器 之 后 也 会 很 快 适应 。 


本 书 修 订 版 的 大 部 分 练习 都 包含 了 Linux 和 Windows 的 示例 。 


1.8 Windows 容 器 vs Linux 容 器 


运行 中 的 容器 共享 入 主机 的 内 核 ， 理 解 这 一 点 是 很 重要 的 。 这 意 
味 着 一 个 基于 Windows 的 容 絮 化 应 用 在 Linux 主 机 上 是 无 法 运行 的 。 读 
者 也 可 以 简单 地 理解 为 Windows 容 絮 需 要 运行 在 Windows 答 主机 之 
上 上，Linux 容 器 (Linux Container) 需要 运行 在 Linux 簿 主机 上 。 但 是 ， 
实际 场景 要 比 这 复杂 得 多 ....….. 


在 本 书 拟 写 过 程 中 ， 在 Windows 机 名 上 运行 Linux 容 器 已 经 成 为 可 
能 。 例 如 ，Windows 版 Docker (由 Docker 公 司 提 供 的 为 Windows 10 设 
计 的 产品 ) 可 以 在 Windows 容 恬 模 式 和 Linux 容 器 模式 之 间 进 行 切 换 。 
这 是 一 个 正在 快速 发 展 的 领域 ， 如 果 读 者 想 要 了 解 ， 需 要 查阅 Docker 
最 新 文档 。 


1.9 ”Mac 容器 现状 


迄今 为 止 ， 还 没有 出 现 Mac 容 器 (Mac Container) ° 


但 是 读者 可 以 在 Mac 系 统 上 使 用 Docker for Mac 来 运行 Linux 容 
右 。 这 是 通过 在 Mac 上 局 动 一 个 轻 量 级 Linux VM， 然 后 在 其 中 无 颖 地 
运行 Linux 容 器 来 实现 的 。 这 种 方式 在 开发 人 员 中 很 流行 ， 因 为 这 样 可 
以 在 Mac 上 很 容易 地 开发 和 测试 Linux 容 屁 。 


1.10 Kubernetes 


Kubernetes 是 谷歌 的 一 个 开源 项 目 ， 并 且 开 源 之 后 迅速 成 为 容 需 
编排 领域 的 领头 羊 。 有 一 种 很 流行 的 说 法 : Kubernetes 是 保证 容器 部 
署 和 运行 的 软件 体系 中 很 重要 的 一 部 分 。 


在 本 书 撰写 时 ，Kubermetes 已 经 采用 Docker 作 为 其 默认 容 絮 运行 时 
(container runtime) ， 包 括 Kubernetes 启 动 和 停止 容器 ， 以 及 镜像 的 
拉 取 等 。 但 是 ，Kubernetes 也 提供 了 一 个 可 揪 拔 的 容器 运行 时 接口 
CRI。CRI 能 够 帮助 Kubernetes 实 现 将 运行 时 环境 从 Docker 快 速 砍 换 为 
其 他 容器 运行 时 。 在 未 来 ，Kubermnetes 中 的 默认 容器 运行 时 可 能 由 
Docker f&Acontainerd 。 关 于 containerd 在 本 书后 续 部 分 有 更 
详细 的 介绍 。 


天 于 Kubermmetes， 读 肴 现在 需要 了 解 的 束 古 一 一 Kubernetes 古 
Docker 之 上 的 一 个 平台 ， 现 在 采用 Docker 实 现 其 底层 容器 相关 的 操 
作 。 


The O 
Kubernetes 
Book 
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The Kubernetes Book 


可 以 通过 阅读 我 Kubernetes 的 图 书 ， 以 及 观看 Getting Started with 
Kubernetes 视频 课程 来 进一步 了 解 Kubernetes 的 相关 内 容 。 


1.11 本 章 小 结 


在 过 去 ， 每 当 业 务 部 门 想 运行 狐 的 应 用 时 ，IT 部 门 惑 需要 购买 新 
的 服务 器 来 满足 需求 。 接 下 来 VMware 的 出 现 终结 了 这 个 时 代 ， 使 得 IT 
部 门 可 以 更 高 效 地 利用 现 有 的 和 新 的 机 器 资源 ， 产 生 更 大 的 价值 。 但 
即使 VMware 和 虚拟 机 模型 这 么 优秀 的 技术 ， 也 存在 其 缺点 。 在 
VMware 和 Hypervisor 成 功 之 后 ， 出 现 了 更 高 效 并 且 更 轻 量 级 的 虚拟 化 
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说 到 Docker， 接 下 来 就 请 读者 跟随 本 书 一 起 ， 来 了 解 Docker 是 什 
么 ， 以 及 为 什么 要 使 用 Docker 吧 ! 


第 2 章 ” 走 进 Docker 


天 于 容 禹 技术 的 图 书 和 探讨 总 是 不 可 避免 地 涉及 Docker。 但 是 当 
有 人 提 人 到 “Docker” 时 ， 可 能 是 指 如 下 3 种 概念 之 一 。 


。 Docker 公 司 。 
e Docker 的 容 釉 运行 时 和 编排 引擎 。 
e Docker 开 源 项 目 (Moby) 


如 果 读 者 希望 在 容器 的 世界 中 有 所 作为 ， 那 么 需要 对 以 上 3 个 内 容 
都 有 所 了 解 。 


简介 


Docker 是 一 种 运行 于 Linux 和 Windows 上 的 软件 ， 用 于 创建 、 管 理 
和 编排 容器 。Docker 是 在 GitHub 上 开发 的 Moby 开 源 项 目的 一 部 分 。 
Docker 公 司 ， 位 于 旧金山 ， 是 整个 Moby 开 源 项 目的 维护 者 。Docker 公 
司 还 提供 包含 支持 服务 的 商业 版 本 的 Docker 。 


以 上 是 一 个 简要 介绍 。 下 面 针 对 每 个 概念 进行 详细 介绍 。 此 外 还 
包含 对 容器 生态 的 探讨 ， 以 及 对 开放 容器 计划 (Open Container 
Initiative, OCI) 的 介绍 。 


2.1 Docker 


2.2 Docker 公 司 


Docker 公 司 位 于 旧金山 ， 由 法 裔 美 籍 开 发 者 和 企业 家 Solumon 
Hykes 创 立 ， 其 标志 如 图 2.1 所 示 。 


有 意思 的 是 ，Docker 公 司 起 初 是 一 家 名 为 dotCloud 的 平台 即 服务 

(Platform-as-a-Service, PaaS) 提供 商 。 底 层 技术 上 ，dotCloud 平 台 利 

用 了 Linux 容 怖 技术 。 为 了 方便 创建 和 管理 这 些 容器 ，dotCloud 开 发 了 
一 套 内 部 工具 ， 之 后 被 命名 为 “Docker”。Docker 就 是 这 样 诞 生 的 ! 


2013 年 ，dotCloud 的 PaaS 业 务 并 不 景气 ， 公 司 需 要 寻求 狐 的 突 
破 。 于 是 他 们 聘请 了 Ben Golub 作 为 新 的 CEO， 将 公司 重 命 名 
为 “Docker”， 放 弃 dotCloud PaaS 平 台 ， 怀 撕 着 “将 Docker 和 容器 技术 推 
回 全 世界 ”的 使 命 ， 开 局 了 一 段 新 的 征程 。 


如 今 Docker 公 司 被 普 裔 认为 是 一 家 创新 型 科技 公司 ， 据 说 其 市 场 
价值 约 为 10 亿 美元 。 在 本 书 撰写 时 ，Docker 公 司 已 经 通过 多 轮 融 资 ， 
吸纳 了 来 和 目 硅谷 的 几 家 风 投 公司 的 票 计 超 过 2.4 亿 美元 的 投资 。 几 乎 所 
有 的 融资 都 发 生 在 公司 更 名 为 "Docker 之 后 。 


docker docker 


( IH Logo) ( 新 Logo) 


图 2.1 Docker 标志 


公司 更 名 为 Docker 之 后 ， 进 行 了 几 次 小 规模 的 未 公开 价格 的 收 
购 ， 来 丰富 其 产品 和 服务 组 合 。 


至 本 书 把 写 时 ，Docker 公 司 拥有 约 300~-400 名 雇员 ， 并 举办 名 为 
DockerCon 的 年 度 会 议 。DockerCon 的 目标 是 聚拢 不 断 发 展 的 容器 生 
态 ， 并 促进 Docker 和 容器 技术 的 推广 。 


本 书 将 始终 使 用 *Docker 人 公司” 来 指 代 Docker 这 家 公司 ， 其 他 地 方 
出 现 的 *Docker” 都 是 指 容器 技术 或 开源 项 目 。 


“Docker” 一 词 来 自 英国 口语 ， 意 为 码头 工人 (Dock Worker) , EMAR EERIE 
的 人 。 


2.3 ”Docker 运 行 时 与 编排 引擎 


多 数 技术 人 员 在 谈 到 Docker 时 ， 主 要 是 指 Docker 引 擎 。 


Docker 引 警 是 用 于 运行 和 编排 容器 的 基础 设施 工具 。 有 VMware 管 
理 经 验 的 读者 可 以 将 其 类 比 为 ESXi。 ESXi 是 运行 虚拟 机 的 核心 管理 程 
序 ， 而 Docker 引 擎 是 运行 容器 的 核心 容器 运行 时 。 

其 他 Docker 公 司 或 第 三 方 的 产品 都 是 围绕 Docker 引 警 进 行 开发 和 


集成 的 。 如 图 2.2 所 示 ， Docker 引 擎 位 于 中 心 ， 其 他 产品 基于 Docker 引 
警 的 核心 功能 进行 集成 。 


Docker3| 敬 可 以 从 Docker 网 站 下 载 ， 也 可 以 基于 GitHub 上 的 源码 
on 。 无 论 是 开源 版 本 还 是 商业 版 本 ， 都 有 Linux 和 Windows 版 


(0) 


在 本 书 撰写 时 ，Docker 引 敬 主 要 有 两 个 版 本 : 企业 版 (EE) 和 社 
区 版 (CE) ° 


每 个 季度 ， 企 业 版 和 社区 版 都 会 发 布 一 个 稳定 版 本 。 社 区 版 本 会 
提供 4 个 月 的 支持 ， 而 企业 版 本 会 提供 12 个 月 的 支持 。 


社区 版 还 会 通过 Edge 方 式 发 布 月 度 版 。 


图 2.2 ”围绕 Docker 引 警 进 行 开 发 和 集成 的 产品 


从 2017 年 第 一 季度 开始 ，Docker 版 本 号 遵循 YYMM-xx 格 式 ， 类 
似 于 Ubuntu 等 项 目 。 例 如 ，2018 年 6 月 第 一 次 发 布 的 社区 版 本 为 
18.06.0-ce ° 


2017 年 第 一 季度 以 前 ，Docker 版 本 号 遵循 大 版 本 号 .小 版 本 号 的 格式 。 采 用 霄 
式 前 的 最 后 一 个 版 本 是 Docker 1.13 ° 


2.4 ”Docker 开 源 项 目 (Moby) 


“Docker” 一 词 也 会 用 于 指 代 开源 Docker 项 目 。 其 中 包含 一 系列 可 
以 从 Docker 官 网 下 载 和 安装 的 工具 ， 比 如 Docker 服 务 问 和 Docker 客 户 
端 。 不 过 ， 该 项 目 在 2017 年 于 Austin 举 办 的 DockerCon 上 正式 命名 为 
Moby 项 目 。 由 于 这 次 改名 ，GitHub 上 的 dockervdocker 库 也 被 转移 到 了 
moby/moby， 并 且 拥 有 了 项 目 目 己 的 Logo， 如 图 2.3 所 示 。 


moby 
project 
图 2.3 ”Moby 的 Logo 


Moby 项 目的 目标 是 基于 开源 的 方式 ， 发 展 成 为 Docker 上 游 ， 并 将 
Docker 拆 分 为 更 多 的 模块 化 组 件 。Moby 项 目 托管 于 GitHub 的 Moby 代 
码 库 ， 包 括 子 项 目 和 工具 列表 。 核 心 的 Docker 引 擎 项 目 位 于 GitHub 的 
moby/moby， 但 是 引擎 中 的 代码 正 持续 被 拆 分 和 模块 化 。 


作为 一 个 开源 项 目 ， 其 源码 是 公开 可 得 的 ， 在 遵循 Apache 协 议 2.0 
的 情况 下 ， 任 何人 都 可 以 目 由 地 下 载 、 页 献 、 调 整 和 使 用 。 


如 果 查 看 项 目的 提交 历史 ， 可 以 发 现 其 中 包含 来 自如 下 公司 的 基 
础 技术 : 红 帽 、 微 软 、IBM、 思 科 ， 以 及 HPE。 此 外 ， 还 可 以 看 到 一 
些 并 非 来 自 大 公司 的 贡献 者 。 


多 数 项 目 及 其 工具 都 是 基于 Golang 编 写 的 ， 这 是 谷歌 推出 的 一 种 
新 的 系统 级 编程 语言 ， 又 叫 Go 语言 。 使 用 Go 语言 的 读者 ， 将 更 容易 为 
该 项 目 页 献 代码 。 


Mody/Docker 作 为 开源 项 目的 好 处 在 于 其 所 有 的 设计 和 开发 都 是 
开放 的 ， 并 握 弃 了 私有 代码 闭 源 开发 模式 下 的 陈旧 方法 。 因 此 发 布 过 
程 也 是 公开 进行 的 ， 不 会 再 出 现 某 个 秘密 的 版 本 提前 几 个 月 就 宣布 要 
召开 发 布 会 和 庆功 会 的 葛 唐 情况 。Moby/Docker 不 是 这 样 运作 的 ， 项 
目 中 多 数 内 容 都 是 开放 并 欢迎 任何 人 查看 和 作出 页 献 的 。 


Moby 项 目 以 及 更 广泛 的 Docker 运 动 一 时 间 掀 起 了 一 波 热潮 。 
GitHub 上 已 经 有 数 以 千 计 的 提交 请 求 (pull request) ， 以 及 数 以 万 计 
的 基于 容器 化 技术 的 项 目 了 ， 更 不 用 说 Docker Hub 上 数 十 亿 的 镜像 下 
载 。Moby 项 目 已 经 给 软件 产业 带 来 了 翻天 履 地 的 变化 。 


这 并 非 亡 想 ，Docker 已 经 得 到 了 广泛 的 应 用 ! 
2.5 ”容器 生态 


Docker 公 司 的 一 个 核心 哲学 通常 被 称 为 “ 侣 电池， 但 可 拆 
EN” (Batteries included but removable) ° 


意思 是 许多 Docker 内 置 的 组 件 都 可 以 替换 为 第 三 方 的 组 件 ， 网 络 
技术 栈 就 是 一 个 很 好 的 例子 。Docker 核 心 产品 内 置 有 网 络 解决 方案 。 
但 是 网 络 技术 栈 是 可 插 拔 的 ， 这 意味 着 Docker 内 置 的 网 络 方案 可 以 被 
蔡 换 为 第 三 方 的 方案 。 许 多 人 都 会 这 样 使 用 。 


早期 的 时 候 ， 经 第 出 现 第 三 方 插件 比 Docker 提供 的 内 置 组 件 更 好 
的 情况 。 然 而 这 会 对 Docker 公 司 的 商业 模式 造成 冲击 。 毕 范 ，Docker 
公司 需要 依靠 盘 利 来 维持 基业 长 青 。 因 此 ,“ 内 置 的 电池 ” 变 得 越 来 越 
好 用 了 。 这 也 导致 了 生态 内 部 的 紧张 关系 和 苋 争 的 加 剧 。 


简单 来 说 ，Docker 内 置 的 “电池 ”仍然 是 可 择 拔 的 ， 然 而 越 来 越 不 
需要 将 它们 移 除 了 。 

尽管 如 此 ， 容 器 生态 在 一 种 良性 的 合作 与 竞争 的 平衡 中 还 是 得 以 
繁荣 发 展 。 在 谈 及 容器 生态 时 ， 人 们 经 常 使 用 到 诸如 “co-opetition> H 
F eee [4 这样 的 字眼 。 这 是 一 个 好 现象 ! 因为 良性 的 竞争 是 创 


2.6 ”开放 容 右 计划 


如 果 不 谈 及 开放 容器 计划 (The Open Container Initiative, OCI) 的 
话 ， 对 Docker 和 容器 生态 的 探讨 总 是 不 完整 的 。 图 2.4 所 示 为 OCI 的 


Logo ° 
OPE CONTAINER 
INITIATIVE 


图 2.4 ”OCI 的 Logo 


OCI 是 一 个 旨 在 对 容 凯 基础 架构 中 的 基础 组 件 (如 镜像 格式 与 容 
亏 运 行 时 ， 如 条 对 这 些 概念 不 败 悉 的 话 ， 不 要 担心 ， 本 书后 续 会 介绍 
到 它们 ) 进行 标准 化 的 管理 委员 会 。 


同样 ， 如 果 不 谈 历史 的 话 ， 对 OCI 的 探讨 也 是 不 完整 的 。 和 所 有 
的 历史 训 录 一样 ， 其 版 本 取决 谁 来 漠 记 它 。 所 以 ， 以 下 是 我 腿 中 的 
容器 历史 。 


我 讲述 的 这 段 简短 的 历史 是 ， 一 个 名 为 CoreOS 的 公司 不 喜欢 
Docker 的 某 些 行事 方式 。 因 此 它 就 创建 了 一 个 新 的 开源 标准 ， 称 
作 “appc”"， 该 标准 涉及 诸如 镜像 格式 和 容 絮 运行 时 等 方面 。 此 外 它 还 
开发 了 一 个 名 为 rkt (发 首 “rocket”) 的 实现 。 


两 个 处 于 苋 争 状态 的 标准 将 容 右 生态 置 于 一 种 尴 碎 的 境地 。 

这 使 容器 生态 陷入 了 分 怕 的 危险 中 ， 同 时 也 令 用 户 和 消费 者 陷入 
两 难 。 虽 然 况 争 是 一 件 好 事 ， 但 是 标准 的 苋 争 通 第 不 是 。 因 为 它 会 导 
BURT, BMRA Be SCRE, SMEAR ACE ° 


考虑 到 这 一 点 ， 所 有 相关 方 都 尽力 用 成 熟 的 方式 处 理 此 事 ， 共 同 
成 立 了 OCI 一 一 一 个 外 在 管理 容 占 标准 的 轻 量 级 的 、 敏 捷 型 的 委员 


Mp 


在 本 书写 作 时 ，OCI 已 经 发 布 了 两 份 规范 (标准 ) : 镜像 规范 和 
运行 时 规范 。 


fe FIX PEAY, 2A BA CMT EERE o ENTRATE 
的 斥 寸 和 相关 属性 达成 一 致 ， 让 所 有 人 都 能 目 由 地 建造 更 好 的 火车 、 
更 好 的 和 车厢、 更 好 的 信号 系统 、 更 好 的 车 站 等 。 只 要 各 方 都 遵循 标准 
。 没 人 会 布 望 在 铁轨 太 十 问题 上 存在 两 个 相互 竞争 的 标 
准 ! 


公平 地 说 ， 这 两 个 OCI 规 范 对 Docker 的 架构 和 核心 产品 设计 产生 
T TAH ° Docker 1.11 版 本 中 ，Docker3 引 | 擎 架构 已 经 遵循 OCI 运 行 
时 规范 了 。 


到 目前 为 止 , OCI 已 经 取得 了 不 错 的 成 效 ， 将 容器 生态 团结 起 
来 。 然 而 ， 标 准 总 是 会 减 慢 创新 的 步伐 ! 尤其 是 对 于 超 快 速 发 展 的 新 
技术 来 说 更 是 如 此 。 这 在 容 需 社区 引起 了 热烈 的 讨论 。 以 我 之 见 ， 这 
征 好 事 ! 容 秀 技术 正在 重 塑 世 界 ， 走 在 技术 前 列 的 人 们 有 热情 、 有 想 
法 ， 这 很 正常 。 期 待 关 于 标准 和 创新 有 更 加 热烈 的 讨论 ! 


OCI 在 Linux 基 金 会 的 支持 下 运作 ，Docker 公 司 和 CoreOS 公 司 都 是 
主要 贡献 者 ° 


2.7 本章 小 结 


本 章 介 绍 了 Docker 公 司 ， 这 是 一 家 位 于 旧金山 的 立志 于 变更 软件 
行业 的 科技 创业 公司 。 可 以 说 他 们 是 现今 容器 音 命 的 先行 者 和 推动 
者 。 但 古 现 在 已 经 形成 了 一 个 由 作者 和 竞争 者 组 成 的 大 型 生态 。 


Docker 项 目 是 开源 的 ， 其 上 游 源 码 位 于 GitHub 的 moby/moby 


库 


开放 容 峰 计划 (OCI) 在 容器 运行 时 格式 和 容器 镜像 格式 的 标准 
化 方面 发 挥 了 重要 作用 。 


[ 喇 “ 意 即 合作 与 竞争 ， 英 文中 co-operation 与 competition 合 并 的 词 。 
一 一 译 者 注 


[2] “更 文中 朋友 friend 与 敌人 enemy 合 并 的 词 。 一 一 译 者 注 
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有 很 多 种 方式 和 场景 可 以 安装 Docker。Docker 可 以 安装 在 
Windows、Mac， 当 然 还 有 Linux 之 上 。 除 此 之 外 还 可 以 在 云 上 安装 ， 
也 可 以 在 个 人 笔记 本 电脑 上 安装 ， 诸 如 此 类 的 例子 有 很 多 。 除 了 前 面 
提 到 的 各 种 安装 场景 之 外 ， 读 者 还 可 以 选择 不 同方 式 完成 Docker 安 
装 ， 包 括 手 工 安装 、 通 过 脚本 方式 安装 和 通过 向导 方式 安装 等 。 安 状 
Docker 的 场景 和 方式 简直 是 数不胜数 。 


但 是 不 要 害怕 ! 上 面 提 到 的 Docker 的 安装 其 实 都 很 简单 。 
本 章 主要 介绍 了 几 种 重要 的 安装 方式 。 


。 桌面 安装 。 
o Windows 版 Docker (Docker for Windows) 
o Mac 版 Docker (Docker for Mac) 
。 RIRE ° 
o Linux ° 
o Windows Server 2016 ° 
© Docker 引 警 升 级 。 
© Docker EIKER E ° 


本 书 也 会 涉及 Docker3 | 警 的 升级 以 及 如 何 选择 合适 的 存储 驱动 等 
X o 


3.1 WindowshkDocker (DfW) 


在 了 解 Windows 版 Docker 之 前 ， 读 者 首先 要 知道 这 是 由 Docker 公 
司 提供 的 一 个 产品 。 这 意味 着 它 易 于 下 载 ， 并 且 有 一 个 很 灵活 的 安装 
器 (installer) 。Windows 版 Docker 需 要 运行 在 一 个 安装 了 64 位 
Windows 10 操 作 系 统 的 计算 机 上 ， 通 过 启动 一 个 独立 的 引擎 来 提供 
Docker 环 境 。 


其 次 ， 读 者 需要 知晓 Windows 版 Docker 是 一 个 社区 版 本 
(Community Edition, CE) 的 应 用 ， 并 不 是 为 生产 环境 设计 的 。 
最 后 ， 读 者 还 需要 知道 Windows 版 Docker 在 某 些 版 本 特性 上 可 能 
是 延 后 文 持 的 。 这 是 因为 Docker 公 司 对 该 产品 的 定位 是 稳定 性 第 一 ， 
源 特 性 其 次 。 


以 上 3 所 被 深思 [到 Windows 版 Docker 这 个 安装 快捷 简单， 但 并 不 支 
持 生 产 环 境 部 署 的 产品 当中 。 


闲话 少 说 ， 接 下 来 请 读者 跟随 本 书 一 起 了 解 一 下 如 何 安 装 
Windows 有 版 Docker ° 


在 安装 之 前 ，Windows 版 Docker 的 环境 有 以 下 要 求 。 


。 Windows 10 Pro / Enterprise / Education (1607 Anniversary 
Update ` Build 14393 或 者 更 新 的 版 本 ) 

。 Windows 必 须 是 64 位 的 版 本 。 

。 需要 启用 Windows 控 作 系 统 中 的 Hyper-V 和 容 妮 特性 。 


接 下 来 的 步 又 会 假设 读者 的 计算 机 已 经 开启 了 BIOS 设 置 中 的 硬件 
虚拟 化 支持 。 如 果 没 有 开启 ， 读 者 需要 在 机 器 上 执行 下 面 的 步 又。 


首先 ， 读 者 需要 确认 在 Windows 10 操 作 系统 中 ，Hyper-v 和 容器 
特性 已 安装 并 且 开 启 。 


(1) 右键 单 击 Windows 开 始 按钮 并 选择 “应 用 和 功能 "页 面 。 

(2) 单 击 “ 程 序 和 功能 ”链接 。 

(3) 单 击 “ 启 用 或 关闭 Windows 功 能 ”。 

(4) 确认 Hyper-V 和 容器 复 选 框 已 经 被 勾 选 ， 并 单 击 确定 按钮 。 


i 
fe EIRE UR PSC BU, RARITA Hyper-V Aa Fete, GO 
3.1 所 示 。 读 者 需要 重启 操作 系统 。 


Windows 功能 一 回 x 
A 


启用 或 关闭 Windows 功能 © 


车 要 启用 一 种 功能 ， 请 选择 其 复 选 框 。 若 要 关闭 一 种 功能 ， 请 清除 其 复 选 
框 。 填 充 的 框 表 示 仅 启用 该 功能 的 一 部 分 。 


E m ) .NET Framework 3.5 (包括 .NET 2.0 和 3.0) A 
田 [m] | .NET Framework 4.7 高 级 服务 

口 | ) Active Directory 经 型 目录 服务 

m 

|_| Internet Explorer 11 

口 | Internet Information Services 

(|_| Internet Information Services 可 承载 的 Web 核心 
0R Microsoft Message Queue (MSMQ) 服务 器 
回 | | Microsoft Print to PDF 

Mi Microsoft XPS 文档 写 入 程序 

四 og MultiPoint Connector 


) 


+) 


Ej 


aO] NFS 服务 
口 | RAS 连接 管理 器 管理 工具 包 (CMAK) Y 
fe Windows 功能 一 口 x 
启用 或 关闭 Windows 功能 和 @@ 


车 要 启用 一 种 功能 ， 请 选择 其 复 选 框 。 车 要 关闭 一 种 功能 ， 请 清除 其 复 选 
框 。 填 充 的 框 表 示 仅 启用 该 功能 的 一 部 分 。 


田 [| | 打印 和 文件 服务 ^ 
回 | 工作 文件 去 客户 诺 

口 | | 简单 TCPIP 服务 ( 即 echo. daytime $) 

O ) 简单 网 络 管理 协议 (SNMP) 

OL 旧版 组 件 


H & & 


E 
O 
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MI) 适用 于 Linux 的 Windows 子 系 统 
DC) | 委 保 护 的 主机 

口 | | 数据 中 心 桥接 

| | 远程 差分 压缩 API 支持 


图 3.1 开启 Hyper-V 和 容器 特性 


其 中 ， 容 器 特性 只 有 在 summer 2016 Windows 10 Anniversary 
Update (build 14393) 版 本 或 更 高 版 本 上 才能 开启 。 


4 ses St Hyper-V Al Aas ee PEW RST ala Za, POA AE 
装 Windows 版 Docker 了。 


(1) 访问 Docker 的 下 载 页 面 ， 并 单 击 其 中 的 Download for 
Windows 按钮 。 


(2) 单 击 后 会 跳 转 到 Docker 商 店 ， 需 要 读者 使 用 自己 的 Docker 
ID 进行 登录 。 


(3) 单 击 任意 Get Docker 下 载 链接 。Docker for Windows 分 为 
pen (Stable) 和 抢 鲜 版 (Edge) 。 抢 鲜 版 当中 包含 一 些 新 特性 ， 
但 是 可 能 不 够 稳定 。 单 击 下 载 链接 后 ， 会 将 名 为 Docker for 
ere Installer .exe 的 安装 包 下 载 到 默认 下 载 目 隶 。 


(4) 找到 上 一 步 下 载 的 安装 包 并 运行 即 可 。 
以 管理 员 喘 份 运行 安装 同 导 ， 并 按照 提示 一 步 一 步 完 成 整个 安 贸 


过 程 。 安 装 完 成 后 Docker 会 作为 系统 服务 自动 启动 ， 并 且 在 Windows 
的 通知 栏 看 到 Docker 的 大 鲸鱼 图 标 。 


ASS! 到 目前 为 止 已 经 成 功 完成 Windows 版 Docker 的 安装 。 
打开 命令 行 或 者 PowerShell 界 面 ， 并 尝试 执行 下 面 的 命令 。 


Client: 

Version: 18.01.0-ce 

API version: 1.35 

Go version: go1.9.2 

Git commit: 03596f5 

Built: Wed Jan 10 20:05:55 2018 
OS/Arch: windows/amd64 


Experimental: false 
Orchestrator: swarm 


Server: 
Engine: 
Version: 18.01.0-ce 
API version: 1.35 (minimum version 1.12) 
Go version: go1.9.2 
Git commit: 03596f5 
Built: Wed Jan 10 20:13:12 2018 


OS/Arch: linux/amd64 


Experimental: false 


注意 观 罕 命令 输出 内 容 ， 其 中 Server 部 分 中 的 0S/Arch 属性 展示 
了 当前 的 操作 系统 是 linux/amd64 。 这 是 因为 在 默认 安装 方式 中 ， 
Docker daemon 是 运行 在 Hyper-V 虚 拟 机 中 的 一 个 轻 量 级 Linux 上 的 。 这 
种 情况 下 ， 读 者 只 能 在 Windows 版 Docker 上 运行 Linux 容 器 。 


如 采 读 者 想 要 运行 原生 Windows 容 器 (Native Windows 
Container) ， 可 以 右 击 Windows 通 知 栏 中 的 Docker 鲸 鱼 图 标 ， 并 选 


择 “ 切 换 到 Windows 容 器 *。 使 用 下 面 的 命令 也 可 以 完成 切换 (进入 
\Program Files\Docker\Docker 目录 下 执行 ) 。 


C:\Program Files\Docker\Docker> .\dockercli -SwitchDaemon 


如 琳 没 有 开局 Windows 容 器 特性 ， 则 会 看 到 图 3.2 的 提示 


o 


x 


Containers feature is not enabled. 
Do you want to enable it for Docker to be able to work properly? 
Your computer will restart automatically. 


图 3.2 ”没有 开启 Windows 容 器 特性 的 提示 
如 果 已 经 开启 了 Windows 容 器 特性 ， 则 只 需要 花费 数秒 承 能 完成 


切换 。 一 旦 切换 完成 ， 在 命令 行 中 执行 docker version 指令 的 输 
出 内 容 如 下 。 


C:\> docker version 
Client: 
<Snip> 


Server: 
Engine: 
Version: 18.01.0-ce 
API version: 1.35 (minimum version 1.24) 


Go version: go1.9.2 

Git commit: 03596f5 

Built: Wed Jan 10 20:20:36 2018 
OS/Arch: windows/amd64 
Experimental: true 


可 以 看 人 天， 现在 Server 版 本 信息 变 成 了 windows/amd64 ° its 
味 着 Docker daemon 运 行 在 原生 Windows 内 核 上 ， 并 且 只 能 运行 
Windows 容 器 了 ° 


同时 也 可 以 发 现 ，Experimental 这 个 属性 的 值 为 true 。 这 表 
示 当 前 运行 的 Docker 版 本 是 实验 版 本 。 本 半 前 面 提 到 ，Docker for 
Windows 有 两 个 版 本 : 稳定 版 和 抢 鲜 版 。 在 本 书 编写 的 过 程 中 ， 
Windows 容 融 征 抢 鲜 版 中 的 一 个 实验 特性 。 


读者 可 以 通过 运行 dockercli -Version 命令 来 查看 当前 的 
Docker 版 本 。dockercli 命令 在 C:\Program 
Files\Docker\Docker 目录 下 。 


PS C:\Program Files\Docker\Docker> .\dockercli -Version 


Docker for Windows 
Version: 18.01.0-ce-win48 (15285) 
Channel: edge 


Shai: ee2282129dec07b8c67890bd26865c8eccdeasse 
OS Name: Windows 10 Pro 

Windows Edition: Professional 

Windows Build Number: 16299 


下 面 展示 了 一 些 常用 的 能 够 正常 执行 的 Docker 命 令 。 


> docker image ls 
REPOSITORY TAG IMAGE ID CREATED SIZE 


> docker container 1s 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


> docker system info 
Containers: 1 
Running: 0 

Paused: 0 

Stopped: 1 


Images: 6 

Server Version: 17.12.0-ce 
Storage Driver: windowsfilter 
<Snip> 


Windows 版 Docker 包 括 Docker 引 警 (客户 端 和 daemon) ` Docker 
Compose ` Docker Machine 以 及 Docker Notary 命 令 行 。 通 过 下 列 命令 确 
认 各 个 模块 已 经 成 功 安装 。 


C:\> docker --version 
Docker version 18.01.0-ce, build 03596f5 


C:\> docker-compose --version 
docker-compose version 1.18.0, build 8dd22a96 


C:\> docker-machine --version 
docker-machine.exe version 0.13.0, build 9ba6da9 


C:\> notary version 
notary 

Version: 0.4.3 
Git commit: 9211198 


3.2 Mac 版 Docker (DEM) 


Mac 版 Docker 也 是 由 Docker 公 司 提供 的 一 个 产品 。 读 者 大 可 以 放 
心 使 用 Docker， 而 无 须 移 成 为 一 个 内 核 工 程 师 ， 也 不 必 通 过 很 极 客 的 
方法 将 Docker 安 装 到 Mac。DfM 的 安装 方式 特别 简单 。 


Mac 版 Docker 是 由 Docker 公 司 基于 社区 版 的 Docker 提 供 的 一 个 产 
品 。 这 意味 着 在 笔记 本 上 安装 单 引擎 版 本 的 Docker 是 非常 简单 的 。 但 
是 同时 ， 这 也 意味 着 Mac 版 Docker 并 不 是 为 生产 环境 而 设计 的 。 如 果 
读者 听 说 过 boot2docker ， 那 么 Mac 版 Docker 束 是 一 个 流畅 、 人 简单 并 且 
稳定 版 的 boot2docker ° 


对 于 Mac 版 Docker 来 说 ， 提 供 基 于 Mac 原 生 操作 系统 中 Darwin 内 核 
的 Docker 引 警 没 有 什么 意义 。 所 以 在 Mac 版 Docker 当 中 ，Docker 
daemon 是 运行 在 一 个 轻 量 级 的 Linux YM 之 上 的 。Mac 版 Docker 通 过 对 
外 提供 daemon 和 API 的 方式 与 Mac 环 境 实现 无 颖 集成 。 这 意味 着 读者 
可 以 在 Mac 上 打开 终端 并 直接 使 用 Docker 命 令 。 

尽管 在 Mac 上 实现 了 无 颖 集成 ， 还 是 要 说 记 Mac 了 版 Docker 撒 层 是 基 
于 Linux VM 运 行 的 ， 所 以 说 Mac 版 Docker 只 能 运行 基于 Linux 的 Docker 
。 不 过 这 样 已 经 很 好 了 ， 因 为 大 部 分 容器 实际 上 都 是 基于 Linux 


图 3.3 展 示 了 Mac 版 Docker 的 抽象 架构 。 
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图 3.3 ”Mac 版 Docker 的 抽象 架构 


Mac 版 Docker 采 用 HyperKit9 实 现 了 一 个 极其 轻 量 级 的 Hypervisor ° HyperKit 是 基 
于 Xhyve Hypervisor 的 。Mac 版 Docker 也 利用 了 DataKit 的 某 些 特性 ， 并 运行 了 一 个 高 
度 优 化 后 的 Linux 发 行 版 Moby (基于 Alpine Linux) ° 


接 下 来 开始 安装 Mac 版 Docker 。 


(1) 打开 浏览 器 ， 访 问 Docker 的 下 载 页 面 ， 然 后 单 击 Download 
for Mac 按钮 。 


(2) 页 面 会 跳 转 到 Docker 商 店 ， 需 要 读者 使 用 自己 的 Docker ID 
和 密码 进行 登录 。 


(3) 单 击 下 载 链接 Get Docker CE 。 


Mac 版 Docker 分 为 两 个 版 本 : 稳定 版 (Stable) 和 抢 鲜 版 
(Edge) 。 抢 鲜 版 包含 一 些 新 特性 ， 但 是 并 不 保证 稳定 运行 。 


单 击 链接 后 ， 会 下 载 Dockerdmg 安装 包 。 


(4) 运行 上 一 步 中 下 载 的 Dockerdmg 文 件 。 将 代表 Docker 的 鲸鱼 
图 标 拖 搜 到 应 用 文件 夹 (Application folder) 中 。 


(5) 打开 应 用 文件 夹 (可 能 会 自动 打开 ) 并 且 双 击 Docker 应 用 图 
标 来 启动 Docker。 读 者 可 能 需要 确认 是 否 运 行 ， 因 为 这 是 从 互联 网 下 
载 的 应 用 程序 。 


pl) 输入 Mac 用 户 密码 ， 这 样 安装 程序 可 以 到 到 创建 组 件 所 香 


(7) Docker daemon 进 程 启 动 。 


_ 一 个 活动 的 鲸鱼 图 标 会 在 屏幕 上 方 状态 栏 中 出 现 。 一 旦 Docker 成 
功 运 行 ， 鲸 鱼 图 标 就 静止 了 。 读 者 可 以 单 击 鲸鱼 图 标 来 管理 DfM 。 


DfM 现 在 已 经 安 疼 完成 ， 读 背 可 以 打开 一 个 终端 ， 
用 的 Docker 指 令 。 党 试 运 行 下 面 的 命令 。 


J 


$ docker version 


Client: 

Version: 17.05.0-ce 

API version: 1.29 

Go version: go1.7.5 

Git commit: 89658be 

Built: Thu May 4 21:43:09 2017 
OS/Arch: darwin/amd64 
Server: 

Version: 17.05.0-ce 

API version: 1.29 (minimum version 1.12) 
Go version: go1.7.5 

Git commit: 89658be 

Built: Thu May 4 21:43:09 2017 
OS/Arch: linux/amd64 
Experimental: true 


TER, Server 的 0S/Arch 属性 中 显示 的 值 是 linux/amd64 ° ix 
是 因为 daemon 是 基于 前 文 提 到 过 的 Linux YM 运行 的 。 


Client 组 件 是 原生 的 Mac 应 用 ， 运 行 在 Mac 操 作 系 统 Darwin 内 核 之 
上 (OS/Arch: darwin/amd64 ) 。 


除 此 之 外 ， 还 需要 注意 当前 Docker 版 本 是 一 个 实验 性 质 的 版 本 
(Experimental: true) 。 这 是 因为 它 是 抢 鲜 版 ， 抢 鲜 版 中 开启 
了 一 些 实验 特性 


运行 其 他 Docker 命 


$ docker --version 
Docker version 17.05.0-ce, build 89658be 


$ docker image ls 
REPOSITORY TAG IMAGE ID CREATED 


$ docker container 1s 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 


MachkDocker#42 Į Docker5 |% 《客户 端 以 及 服务 端 守护 程 
F) ` Docker Compose ` Docker machine 以 及 Notary 命 令 行 。 下 面 的 3 
ae 令 同 读者 展示 了 如 何 确认 这 些 组 件 是 否 成 功 安 闭 ， 以 及 组 件 的 版 


$ docker --version 
Docker version 17.05.0-ce, build 89658be 


$ docker-compose --version 
docker-compose version 1.13.0, build 1719ceb 


$ docker-machine --version 
docker-machine version 0.11.0, build 5b27455 
$ notary version 
notary 
Version: 0.4.3 
Git commit: 9211198 


3.3 ”在 Linux 上 安装 Docker 


在 Linux 上 安装 Docker 是 常见 的 安装 场景 ， 并 且 安 装 过 程 非常 丛 
单 。 通 常 难点 在 于 Linux 不 同 发 行 版 之 间 的 轻微 区 别 ， 比 如 Ubuntu 和 
CentOS 之 间 的 差异 。 本 书 接 下 来 的 示例 基于 Ubuntu 版 本 Linux， 同 样 
适用 于 更 低 或 者 更 高 的 版 本 。 理 论 上 ， 下 面 的 示例 在 CentOS 的 各 种 版 
本 上 也 是 可 以 执行 的 。 至 于 读者 的 Linux 操 作 系 统 是 安装 在 自己 的 数据 
中 心 ， 还 是 第 三 方 公有 云 ， 或 是 笔记 本 的 虚拟 机 上 ， 都 没有 任何 的 区 
别 。 唯 一 需求 就 是 这 台 机 句 是 Linux 操 作 系 统 ， 并 且 能 够 访问 
https://get.docker.com ° 


首先 读者 需要 选择 安装 的 Docker 版 本 。 当 前 有 两 个 版 本 可 供 选 
择 : 社区 版 (Community Edition, CE) 和 企业 版 (Enterprise 
Edition, EE) 


Docker CE 是 免费 的 ， 并 且 是 接 下 来 示例 中 将 要 使 用 的 版 本 。 
Docker EE 包 含 Docker CE 中 的 全 部 功能 ， 还 包括 了 商业 支持 以 及 与 其 
他 Docker 产 品 的 集成 ， 比 如 Docker 可 信和 镜像 库 和 通用 控制 面板 。 


下 面 的 例子 使 用 wget 命令 来 运行 一 个 Shell 脚 本 ， 完 成 Docker CE 
的 安装 。 更 多 其 他 在 Linux 上 安装 Docker 的 方式 ， 可 以 打开 Docker 主 页 
面 ， 单 击 页 面 中 Get Started 按钮 来 获取 。 


下 的 步骤 之 前 ， 要 确认 系统 升级 到 最 新 的 包 ， 并 且 打 了 术 


应 的 安全 补 


(1) 在 Linux 机 器 上 打开 一 个 新 的 Shell 。 


(2) 使 用 wget 从 https:/get.dockercom 获 取 并 运行 Docker 安 装 脚 
本 ， 然 后 采用 Shell 中 管道 (pipe) 的 方式 来 执行 这 个 脚本 。 


$ wget -qO- https://get.docker.com/ | sh 


modprobe: FATAL: Module aufs not found /1lib/modules/4.4.0-36- 


generic 

+ sh -c ‘sleep 3; yum -y -q install docker-engine' 

<Snip> 

If you would like to use Docker as a non-root user, you should 
now consider adding your user to the "docker" group with 
something like: 


sudo usermod -aG docker your-user 


Remember that you will have to log out and back in... 


(3) 最 好 通过 非 root 用 户 来 使 用 Docker。 这 时 需要 添加 非 root 用 
户 到 本 地 Docker Unix 组 当中 。 下 面 的 命令 展示 了 如 何 把 名 为 npoulton 
的 用 户 添加 到 Docker 组 中 ， 以 及 如 何 确认 操作 是 否 执 行 成 功 。 请 读者 
目 行 使 用 系统 中 的 有 效用 户 。 


$ sudo usermod -aG docker npoulton 


$ cat /etc/group | grep docker 
docker:x:999:npoulton 


如 果 读 者 当前 登录 用 户 束 古 要 深 加 到 Docker 组 中 的 用 户 的话 ， 则 
需要 重新 登录 ， 组 权限 设置 才 会 生效 。 


A=! Docker 已 经 在 读者 的 Linux 机 器 上 安装 成 功 。 运 行 下 面 命令 
来 确认 安装 结果 。 


$ docker --version 
Docker version 18.01.0-ce, build 03596f5 


$ docker system info 
Containers: 0 
Running: 0 
Paused: 0 


Stopped: 0 
Images: 0 
Server Version: 18.01.0-ce 
Storage Driver: overlay2 
Backing Filesystem: extfs 
<Snip> 


QU FR Ete RE eS BON Linux 27th PCR RT, AP 
[=] Docker Docs 网 站 并 单 击 与 自己 的 版 本 相关 的 那个 链接 。 下 来 页 面 
会 跳 转 到 Docker 官 方 提供 的 适合 当前 版 本 的 安装 指南 页 面 ， 这 个 安装 
指南 通常 会 你 持 更 新 。 但 是 需要 注意 ，Docker 网 站 上 提供 的 指令 使 用 
了 包 管 理 右 ， 相 比 本 书 前 面 的 例子 需要 更 多 的 步 又 才能 完成 安装 操 
作 。 实 际 上 ， 如 果 读 者 使 用 浏览 器 打开 网 页 https:/get.dockercom， 会 
发 现 这 其 实 就 是 一 个 Shell 脚 本 ， 脚 本 中 已 经 帮 读 者 定义 好 了 安装 相关 
的 指令 ， 包 括 设置 Docker 为 系统 开启 自 启动 。 


如 果 读 者 未 从 官方 Docker 仓 库 下 载 源码 ， 则 最 终 安装 的 可 能 是 Docker 的 一 个 复 
制版 本 。 过 去 一 些 Linux 发 行商 选择 复制 了 Docker 的 代码 ， 并 基于 此 开发 了 一 些 定制 
化 的 版 本 。 读 者 需要 注意 类 似 的 情况 ， 因 为 运行 一 个 与 Docker 官 方 版 本 不 同 的 复制 
版 ， 可 能 遇 到 异常 退出 的 情况 。 如 果 读 者 本 意 就 是 采用 该 版 本 运行 ， 那 这 不 是 间 
题 。 但 是 如 果 读 者 本 意 并 非 如 此 ， 复 制版 本 中 发 行商 提交 的 一 些 改动 可 能 导致 其 版 
本 无 法 与 Docker 官 方 版 本 相 兼 容 。 这 样 就 无 法 从 Docker 公 司 或 者 Docker 公 司 授权 的 


合作 伙伴 那里 获得 商业 支持 。 


3.4 Windows Server 2016 上 安装 Docker 


本 小 节 主 要 介绍 在 Windows Servre 2016 上 安装 Docker 的 方法 。 主 
要 包括 以 下 步骤 。 
(1) 安装 Windows 容 器 功能 (Windows Container Feature) ° 


(2) 安装 Docker ° 


(3) 确认 安装 成 功 。 
在 开始 安装 之 前 ， 读 者 需要 确保 操作 系统 已 经 更 新 了 最 新 版 本 的 
包 以 及 安全 补丁 。 读 者 oe 命令 ， 并 选择 选项 6 来 
快速 完成 更 新 的 安装 。 安 装 更 新 可 能 需要 重启 系统 。 


接 下 来 本 书 会 在 没有 安装 容器 功能 (Container Feature) 或 者 已 经 
安装 了 老 版 本 Docker 的 Windows Server 2016 上 进行 演示 。 


确保 容器 特性 已 经 安装 并 且 启 用 。 


(1) 鼠标 右 击 Windows 开 始 按钮 ， 选 择 “ 应 用 和 功能 ”， 接 下 来 会 
打开 “应 用 和 功能 ”面板 。 


2) 单 击 “启用 或 关闭 Windows 功 能 ”， 接 下 来 会 打开 “服务 器 管 


BH o 


fi 


(3) 确认 面板 处 于 选中 状态 ， 然 后 选择 "添加 角色 和 功能 。 
(4) 根据 向 导 提示 执行 ， 直 到 进入 “功能 "页 面 。 


(5) 确保 “容器 ”功能 已 经 勺 选 ， 然 后 单 击 癌 导 的 “完成 按钮 。 完 
> CREE SIE. 


现在 已 经 完成 Windows 容 器 功能 的 安装 ， 接 下 来 可 以 安装 Docker 
了 。 本 书 中 采用 PowerShell 完 成 安装 。 


(1) 以 管理 员 身 份 运行 PowerShell 。 


(2) 运行 下 面 的 命令 来 安装 Docker 包 管理 工具 。 


> Install-Module DockerProvider -Force 


如 果 出 现 提 示 ， 单 击 允 许 (Accept) 按钮 完成 NuGet provider 的 安 


ae o 
(3) 安装 Docker ° 


> Install-Package Docker -ProviderName DockerProvider -Force 


一 旦 安 狠 完成， 读者 可 以 看 到 下 面 的 内 容 。 


Name Version Source Summary 


Docker 17.06.2-ee-6 Docker Docker for Windows Server 2016 


现在 Docker 已 经 完成 安装 ， 并 且 设 置 为 开机 目 启 动 。 


(4) 读者 可 能 希望 重启 系统 来 确认 Docker 的 安装 没有 对 系统 启动 
造成 任何 影响 。 此 外 在 重 局 之 后 ， 可 以 检查 Docker 是 否 目 动 局 动 。 


Docker 现 在 已 经 安装 成 功 ， 读 考 可 以 开始 部 署 容 器 了。 下 面 的 命 
令 是 确认 Docker 安 装 成 功 的 方法 。 


> docker --version 
Docker version 17.06.2-ee-6, build e75fdb8 


> docker system info 
Containers: 0 

Running: 0 

Paused: 0 

Stopped: 0 

Images: 0 
Server Version: 17.06.2-ee-6 
Storage Driver: windowsfilter 
<Snip> 


Docker 现 在 已 经 完成 安装 ， 读 者 可 以 开始 运行 Windows 容 器 了 ° 


3.5 Docker 引 擎 (Engine) 升级 


升级 Docker 引 警 (Engine) 是 一 项 重要 的 任务 ， 尤 其 是 生产 环 
境 。 本 蔬 中 会 回 读 者 介绍 升级 Docker 引 警 的 关键 步骤 ， 以 及 一 些 相 关 
的 小 建议 和 升级 示例 。 
升级 Docker 引 警 的 关键 步骤 如 下 。 
需要 重视 升级 操作 的 每 个 前 置 条 件 ， 包 括 确 保 容 絮 配置 了 正确 的 
EMRK; Swarm Mode 模 式 下 使 用 服务 时 ， 需 要 确保 正确 配置 了 
draining node。 当 完成 了 上 还 前 置 条 件 的 检查 之 后 ， 可 以 通过 如 下 步骤 
完成 升级 操作 。 
(1) 停止 Docker 守 护 程 序 。 
(2) 移 除 旧版 本 Docker 。 


(3) 安装 新 版 本 Docker 。 


(4) 配置 新 版 本 的 Docker 为 开机 自 启动 。 
(5) 确保 容器 重启 成 功 。 
上 面 就 是 全 部 的 关键 步骤 。 下 面 本 书 通过 具体 例子 来 进行 介绍 。 
不 同 版 本 的 Linux 在 升级 Docker 的 时 候 ， 命 令 可 能 略 有 区 别 。 本 书 
中 以 Ubuntu 16.04 和 Windows Server 2016 作 为 例子 进行 介绍 。 


3.5.1 Ubuntu 16.04 上 升级 Docker CE 


本 书 假设 读者 已 经 完成 了 全 部 的 升级 前 置 步骤 并 且 Docker 处 于 可 
以 升级 的 状态 ， 同 时 还 可 以 用 root 用 户 喘 份 运行 升级 命令 。 以 root 用 户 
运行 升级 命令 是 不 推荐 的 ， 但 是 可 以 简化 本 书 中 的 示例 。 如 果 读 者 不 
采用 root 用 户 运行 升级 命令 ， 那 最 好 不 过 了 ! 那么 需要 通过 sudo 来 执 
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(1) 更 新 APT 包 列表 。 


$ apt-get update 


(2) EEk Bi Docker ° 


$ apt-get remove docker docker-engine docker-ce docker.io -y 


在 之 前 的 版 本 中 ，Docker 引 警 的 包 名 可 能 有 多 个 。 这 条 命令 能 够 
确保 已 经 安装 的 Docker 包 全 部 被 删除 。 


(3) 安装 新 版 本 Docker。 


有 不 同 版 本 的 Docker 可 供 选 择 ， 并 且 有 多 种 方式 可 以 安装 
Docker。 无 论 是 Docker CE 还 是 Docker EE， 都 有 不 止 一 种 安装 方式 。 
例如 ，Docker CE 可 以 通过 apt 或 者 deb 包 管理 方式 进行 安装 ， 也 可 以 使 
用 Docker 官 网 上 的 脚本 。 


接 下 来 的 命令 会 使 用 get.dockercom 的 脚本 完成 最 新 版 本 Docker 
CE 的 安装 和 配置 。 


$ wget -qO- https://get.docker.com/ | sh 


(4) 将 Docker 配 置 为 开机 自 启动 。 


$ systemctl enable docker 


Synchronizing state of docker.service... 
Executing /lib/systemd/systemd-sysv-install enable docker 


$ systemctl is-enabled docker 
enabled 


PER se A] HE a BAT o CRE BY ARRANI SCS H Docker 
不 会 对 系统 开机 有 任何 的 影响 。 


(5) 检查 并 确保 每 一 个 容器 和 服务 都 已 经 重 局 成 功 。 


$ docker container 1s 
CONTAINER ID IMAGE COMMAND CREATED STATUS 


97e599aca9f5 alpine "sleep 1d" 14 minutes ago Up 1 
minute 


$ docker service ls 

ID NAME MODE REPLICAS IMAGE 
ibyotltiehjy prod-equus1 replicated 1/1 

alpine:latest 


请 注意 ， 更 新 Docker 还 有 其 他 的 方法 。 本 书 只 是 介绍 了 基于 
Ubuntu Linux 16.04 版 本 的 方式 。 


3.5.2 ”在 Windows Server 2016 上 升级 Docker 
EE 


在 本 节 中 ， 会 癌 读 者 一 步 一 步 介 绍 如 何在 Windows 上 将 Docker 
1.12.2 版 本 升级 到 最 新 版 本 的 Docker EE。 


假设 读者 已 经 完成 了 全 部 的 准备 工作 ， 比 如 为 容 絮 配置 了 正确 的 
重启 策略 ， 如 果 运 行 有 有 Swarm 服务， 则 需要 将 待 升 级 Swarm 闻 点 设置 
为 drain 状 态 。 

本 例 中 全 部 命令 都 应 当 通 过 PowerShell 终 端 执 行 。 


(1) 检查 当前 Docker 版 本 。 


> docker version 

Client: 

Version: 1.12.2-cs2-ws-beta 
<Snip> 


Server: 
Version: 1.12.2-cs2-ws-beta 


(2) RANET RETER ERK ZS TERNIR Docker, 3 
从 Docker 官 方 获取 最 新 版 本 进行 安装 。 


> Uninstall-Module DockerMsftProvider -Force 


> Install-Module DockerProvider -Force 


(3) 更 新 Docker 包 。 


Wm (无 须 抒 载 操作 ) Docker， 并 设置 为 开机 
已 ZJ 


> Install-Package -Name docker -ProviderName DockerProvider - 
Update -Force 


Name Version Source Summary 


Docker 17.06.2-ee-6 Docker Docker for Windows Server 
2016 


MERA A] BER BAT, MAARN SH Dockerh2XT 
系统 开机 有 任何 的 影响 。 


(4) 检查 并 确保 每 一 个 容器 和 服务 都 已 经 重启 成 功 。 
3.6 Docker 存 储 驱 动 的 选择 


每 个 Docker 容 器 都 有 一 个 本 地 存储 空间 ， 用 于 保存 层 琶 的 镜像 层 
(Image Layer) 以 及 挂 载 的 容器 文件 系统 。 默 认 情况 下 ， 容 器 的 所 有 
读 写 操作 都 发 生 在 其 镜像 层 上 或 挂 载 的 文件 系统 中 ， 所 以 存储 是 每 个 
容器 的 性 能 和 稳定 性 不 可 或 缺 的 一 个 环节 。 


以 往 ， 本 地 存储 是 通过 存储 驱动 (Storage Driver) 进行 管理 的 ， 
有 时 候 也 被 称 为 Graph Driver 或 者 GraphDriver ° RAFI LIE 
抽象 设计 中 都 采用 了 栈 式 镜 像 层 存储 和 写 时 复制 (Copy-on-Write) 的 
设计 思想 ， 但 是 Docker 在 Linux 故 层 支 持 儿 种 不 同 的 存储 驱动 的 具体 实 
现 ， 每 一 种 实现 方式 都 采用 不 同方 法 实现 了 镜像 层 和 写 时 复制 。 虽 然 
底层 实现 的 差异 不 影 啊 用户 与 Docker 之 间 的 交互 ， 但 是 对 Docker 的 性 
能 和 稳定 性 至 天 重要 。 


在 Linux 上 ，Docker 可 选择 的 一 些 存储 驱动 包括 AUFS (最 原始 也 
是 最 老 的 ) ` Overlay2 〈 可 能 是 未 来 的 最 佳 选择 ) 、Device Mapper ` 
Btrfs 和 ZFS。 


Docker 在 Windows 操 作 系 统 上 只 支持 一 种 存储 驱动 ， 即 Windows 
Filter 。 


存储 驱动 的 选择 是 节点 级 别 的 。 这 意味 着 每 个 Docker 主 机 只 能 选 
择 一 种 存储 驱动 ， 而 不 能 为 每 个 容器 选择 不 同 的 存储 驱动 。 在 Linux 
上 ， 读 者 可 以 通过 修改 /etc/docker/daemon ,json 文件 来 修改 存 
储 引 警 配 置 ， 修 改 完成 之 后 需要 重启 Docker 才 能 够 生效 。 下 面 的 代码 
片段 展示 了 如 何 将 存储 驱动 设置 为 overlay2。 


"storage-driver": "overlay2" 


如 果 配 置 所 在 行 不 是 文件 的 最 后 一 行 ， 则 需要 在 行 尾 处 增加 逗号 。 


如 果 读 者 修改 了 正在 运行 Docker 主 机 的 存储 引擎 类 型 ， 则 现 有 的 
镜像 和 容器 在 重启 之 后 将 不 可 用 ， 这 是 因为 每 种 存储 驱动 在 主机 上 存 
储 镜 像 层 的 位 置 是 不 同 的 (通常 在 /var/1lib/docker/ 
<storage-driver>/... 目录 下 ) 。 修 改 了 存储 驱动 的 类 型 ， 
Docker 就 无 法 找到 原 有 的 镜像 和 容器 了 。 切 换 到 原来 的 存储 驱动 ， 之 
前 的 镜像 和 容器 就 可 以 继续 使 用 了 。 


如 果 读 者 希望 在 切换 存储 引擎 之 后 还 能 够 继续 使 用 之 前 的 镜像 和 
容 娘 ， 需 要 将 镜像 保存 为 Docker 格 式 ， 上 传 到 某 个 镜像 仓库 ， 修 改 本 
2 eee 之 后 从 镜像 仓库 将 镜像 拉 取 到 本 地 ， 最 后 

Sar ° 


通过 下 面 的 命令 来 检查 Docker 当 前 的 存储 驱动 类 型 。 


$ docker system info 


<Snip> 

Storage Driver: overlay2 
Backing Filesystem: xfs 
Supports d_type: true 
Native Overlay Diff: true 

<Snip> 


选择 存储 驱动 并 正确 地 配置 在 Docker 环 境 中 是 一 件 重要 的 事情 ， 
寺 别 是 在 生产 环境 中 。 下 面 的 清单 可 以 作为 一 个 参考 指南 ， 帮 助 读者 
选择 合适 的 存储 驱动 。 但 是 ， 本 书 仍 建议 读者 参阅 Docker 官 网 上 由 
Linux 发 行商 提供 的 最 新 文档 来 做 出 选择 。 


。 Red Hat Enterprise Linux: 4.x 版 本 内 核 或 更 高 版 本 + Docker 17.06 
版 本 或 更 高 版 本 ， 建 议 使 用 Overlay2 。 

e Red Hat Enterprise Linux: 低 版 本 内 核 或 低 版 本 的 Docker， 建 议 使 
用 Device Mapper ° 

e Ubuntu Linux: 4.x 版 本 内 核 或 更 高 版 本 ， 建 议 使 用 Overlay2。 

。 Ubuntu Linux: 更 早 的 版 本 建议 使 用 AUFS ° 

e SUSE Linux Enterprise Server: Btrfs ° 


再 次 强调 ， 上 面 的 请 单 内 容 只 是 一 个 参考 建议 。 读 者 需要 时 刻 头 
注 Docker 文 档 中 关于 存储 驱动 的 最 新 文 持 和 版 本 兼容 列表 。 尤 其 当 读 
者 正在 使 用 Docker 企 业 版 (EE) ， 并 且 有 售后 支持 合同 的 情况 下 ， 更 
有 必要 查阅 最 新 文档 。 


3.6.1 Device Mapper 配 置 


大 部 分 Linux 存 储 驱 动 不 需 要 或 需要 很 少 的 配置 。 但 是 ，Device 
Mapper 通常 需要 合理 配置 之 后 才能 表现 出 良好 的 性 能 。 


默认 情况 下 ，Device Mapper 采用 loopback mounted sparse file 
作为 底层 实现 来 为 Docker 提 供 存 储 文 持 。 如 果 读 者 需要 的 是 开 箱 即 用 
并 且 对 性 能 没什么 要 求 ， 那 么 这 种 方式 是 可 行 的 。 但 这 并 不 适用 于 生 
产 环 境 。 实 际 上 ， 默 认 方式 的 性 能 很 差 ， 并 不 文 持 生产 环境 。 


为 了 达到 Device Mapper 在 生产 环境 中 的 最 佳 性 能 ， 读 者 需要 
将 底层 实现 修改 为 direct -lvm 模式 。 这 种 模式 下 通过 使 用 基于 裸 块 
设备 (Raw Block Device) 的 LVM 精 简 池 (LVM thin pool) 来 获取 更 
好 的 性 能 。 


在 Docker 17.06 以 及 更 高 的 版 本 中 可 以 配置 direct-1lvm 作为 存 
储 驱动 。 但 是 在 本 书 撰 写 时 ， 该 方式 存在 某 种 限制 。 其 中 最 主要 的 一 
点 是 ， 这 种 方式 只 能 配置 一 个 块 设备 ， 并 且 只 有 在 第 一 次 安装 后 才能 
设置 生效 。 未 来 可 能 会 有 改进 ， 但 就 目前 情况 来 看 配置 单一 块 设备 这 
种 方式 在 性 能 和 可 靠 性 上 都 有 一 定 的 风险 。 


3.6.2 ”让 Docker 自 动 设置 direct-lvm 
下 面 的 步骤 会 将 Docker 配 置 存储 驱动 为 Device Mapper ， 并 使 
Fadirect-lvm 模式 。 
(1) 将 下 面 的 存储 驱动 配置 添加 


到 /etc/docker/daemon.json 当中 


"storage-driver": "devicemapper", 
"storage-opts": [ 
" 


dm.directlvm_device=/dev/xdf", 


. thinp_percent=95", 
.thinp_metapercent=1", 


. thinp_autoextend_threshold=80", 
. thinp_autoextend_percent=20", 
.directlvm_device_force=false" 


Device Mapper 和 LVM 有 是 很 复杂 的 知识 点 ， 并 不 在 本 书 的 讨论 范围 


之 内 。 下 面 简单 介绍 一 下 各 配置 项 的 含义 。 


dm.directlvm_device: 设置 了 块 设备 的 位 置 。 为 了 存储 的 
最 佳 性 能 以 及 可 用 性 ， 块 设备 应 当 位 于 高 性 能 存储 设备 (如 本 地 
SSD) 或 者 外 部 RAID 存 储 阵 列 之 上 。 
dm.thinp_percent=95: 设置 了 镜像 和 容器 允许 使 用 的 最 大 
存储 空间 占 比 ， 默 认 是 95% 。 
dm.thinp_metapercent : 设置 了 元 数据 存储 (MetaData 
Storage) 允许 使 用 的 存储 空间 大 小 。 默 认 是 1%。 
dm. thinp_autoextend_threshold: 设置 了 LVM 自 动 扩展 
精简 池 的 闹 值 ， 默 认 是 80% ° 
dm.thinp_autoextend_percent : 表示 当 触 发 精简 池 (thin 
自动 扩容 机 制 的 时 候 ， 扩 容 的 大 小 应 当 占 现 有 空间 的 比 

il o 
dm.directlvm_device_force: 人 允许 用 户 决 定 是 否 将 块 设备 
格式 化 为 新 的 文件 系统 。 


(2) 重启 Docker ° 
(3) 确认 Docker 已 成 功 运行 ， 并 且 块 设备 配置 已 被 成 功 加 载 。 


$ docker version 


Client 
Version: 18.01.0-ce 
<Snip> 
Server 
Version: 18.01.0-ce 


$ docker system info 

<Snipped output only showing relevant data> 

Storage Driver: devicemapper 

Pool Name: docker-thinpool 

Pool Blocksize: 524.3 kB 

Base Device Size: 25 GB 

Backing Filesystem: xfs 

Data file: << Would show a loop file if in loopback mode 
Metadata file: << Would show a loop file if in loopback mode 
Data Space Used: 1.9 GB 

Data Space Total: 23.75 GB 

Data Space Available: 21.5 GB 

Metadata Space Used: 180.5 kB 

Metadata Space Total: 250 MB 

Metadata Space Available: 250 MB 


即使 Docker 在 direct-lvm 模式 下 只 能 设置 单一 块 设备 ， 其 性 能 
也 会 显著 优 于 loopback 模式 。 


3.6.3 ”手动 配置 Device Mapper 的 direct-lvm 


完整 介绍 如 何 进行 Device Mapper direct-lvm 的 手动 配置 已 经 超越 
了 本 书 的 范畴 ， 并 且 不 同 操作 系统 版 本 之 下 配置 方式 也 不 尽 相 同 。 但 
是 ， 下 面 列 出 的 内 容 是 读者 需要 了 解 并 在 配置 的 时 候 仔细 其 酌 的 。 


。 块 设备 (Block Device) : 在 使 用 direct-lvm 模 式 的 时 候 ， 读 者 需 
要 有 可 用 的 块 设 备 。 这 些 块 设备 应 该 位 于 高 性 能 的 存储 设备 之 
上 ， 比 如 本 地 SSD 或 者 外 部 高 性 能 LUN 存 储 。 如 果 Docker 环 境 部 
署 在 企业 私有 云 (On-Premise) 之 上 ， 那 么 外 部 LUN 存 储 可 以 使 
用 FC、iSCSI， 或 者 其 他 支持 块 设备 协议 的 存储 阵列 。 如 果 
Docker 环 境 部 署 在 公有 云 之 上 ， 那 么 可 以 采用 公有 云 厂商 提供 的 
任何 高 性 能 的 块 设 备 〈 通 常 基于 SSD) e 
LVM 配 置 Docker 的 Device Mapper 存 储 驱动 底层 利用 LVM 
(Logical Volume Manager) 来 实现 ， 因 此 需要 配置 LVM 所 需 的 物 
理 设备 、 卷 组 、 你 辑 卷 和 精简 池 。 读 者 应 当 使 用 专用 的 物理 卷 并 
将 其 配置 在 相同 的 卷 组 当中 。 这 个 卷 组 不 应 当 被 Docker 之 外 的 工 
作 负 载 所 使 用 。 此 外 还 需要 配置 额外 两 个 逻辑 卷 ， 分 别 用 于 存储 
数据 和 源 数据 信息 。 另 外 ， 要 创建 LVM 配 置 文件 、 指 定 LVM 上 自动 


扩容 的 触发 国 值 ， 以 及 自动 扩容 的 大 小 ， 并 且 为 自动 扩容 配置 相 
应 的 监控 ， 保 证 自动 扩容 会 被 触发 。 
。 Docker 配 置 修改 Docker 配 置 文件 之 前 要 先 保存 原始 文件 
(etc/docker/daemon.json) ， 然 后 再 进行 修改 。 读 者 环境 
中 的 dm.thinpooldev 配 置 项 对 应 值 可 能 跟 下 面 的 示例 内 容 有 所 不 
同 ， 需 要 修改 为 合适 的 配置 。 


"storage-driver": "devicemapper", 
"storage-opts": [ 


"dm. thinpooldev=/dev/mapper/docker -thinpool", 
"dm.use_deferred_removal=true", 
"dm.use_deferred_deletion=true" 


修改 并 保存 配置 后 ， 读 者 可 以 重启 Docker daemon ° 
如 果 想 获取 更 多 细 世 信息 ， 可 以 参考 Docker 文 要 ， 或 者 咨询 
Docker 技 术 账 户 管理 员 。 


3.7 本章 小 结 


Docker 在 Linux 和 Windows 中 都 是 可 用 的 ， 并 且 分 为 社区 版 (CE) 
和 企业 版 (EE) 。 在 本 章 中 ， 主 要 问 读 者 介绍 了 在 Windows10、Mac 
OS X ` Linux L4 Windows Server 2016 下 的 几 种 安装 Docker 的 方式 。 


本 章 还 介绍 了 如 何在 Ubuntu 16.04 和 Windows Server 2016 环 境 中 升 
级 Docker 引 警 ， 这 也 是 两 种 常见 的 配置 场景 。 


本 章 中 读者 还 可 以 了 解 到 选择 正确 的 存储 驱动 对 于 在 Linux 生 产 环 
境 中 使 用 Docker 韭 常 重要 。 


第 4 章 ” 纵 观 Docker 


本 章 的 初衷 是 在 继续 深入 人 研究 Docker 之 前 ， 对 Docker 进 行 一 个 整 


在 运 维 视 角 中 ， 主 要 包括 下 载 镜 像 、 运 行 新 的 容器 、 登 录 新 容 
an EARANN, DARPA aE o 


在 开发 视角 中 ， 更 多 关注 与 应 用 相关 的 内 容 。 本 书 会 从 GitHub 拉 
取 一 些 应用 代码 ， 解 笠 其 中 的 Doderfle， 将 应 用 容器 化 ， 并 在 容器 中 
运行 它们 。 


通过 上 面 两 部 分 内 容 ， 读 者 可 以 从 整体 上 理解 Docker 袍 竟 是 什 
么 ， 以 及 主要 组 件 之 间 是 如 何 相 互 配合 的 。 推 荐 读者 对 开发 和 运 维 两 
部 分 内 容 都 要 阅读 。 


读者 无 须 因为 不 了 解 本 章 部 分 内 容 而 担心 。 本 书 并 不 准备 通过 本 
章 的 介绍 让 读者 成 为 专家 。 本 章 主 要 目的 是 给 读者 一 个 宏观 概念 
这 们 在 后 续 音节 中 介绍 更 细节 的 内 容 时 ， 读 者 能 明白 各 部 分 之 间 是 如 
可 交互 的 。 


为 了 能 完成 本 划 广 阅读 ， 读 者 只 需 一 个 可 连接 到 互联 网 的 Docker 
主机 。DockerT 点 可 以 是 Linux 或 者 Windows， 并 且 无 论 这 个 点 是 笔 
记 本 上 的 虚拟 机 ， 还 是 公有 云 上 的 一 个 实例 ， 亦 或 是 数据 中 心 的 物理 
机 都 没有 关系 。 只 需要 这 个 节点 能 运行 Docker 并 且 连 接 到 互联 网 即 
可 。 本 书 接 下 来 的 例子 泗 盖 了 Linux 和 Windows ! 


此 外 还 有 一 种 快速 启动 Docker 的 方式 ， 是 Play With Docker 
(PWD) ° Play With Docker 是 一 个 基于 Web 界 面 的 Docker 环 境 ， 并 且 


可 以 免费 使 用 。 只 需要 浏览 禹 束 可 以 使 用 〈 可 能 需要 读者 用 Docker 
Hub 账 户 登 录 ) 。 这 也 是 我 最 喜欢 的 局 动 临 时 Docker 环 境 的 方式 。 


4.1 运 维 视 角 


当 读 者 安装 Docker 的 时 候 ， 会 涉及 两 个 主要 组 件 : Docker% J Ýi 
和 Docker daemon (AMERA “ARH vin” Bee “5 | BE”) 。 


daemon 实 现 了 Docker 引 擎 的 API ° 


使 用 Linux 默 认 安 朔 时， 客户 端 气 daemon 之 间 的 通信 和 是 通过 本 地 
IPC/UNIX Socket 完 成 的 (/var/run/docker.sock ) ; 在 Windows 
上 是 通过 名 为 npipe:////./pipe/docker_engine 的 管道 

(pipe) 完成 的 。 读 者 可 以 使 用 docker version 命令 来 检测 客户 端 
和 服务 端 是 否 都 已 经 成 功 运行 ， 并且 可 以 互相 通信 。 


> docker version 
Client: 

Version: 18.01.0-ce 

API version: 1.35 

Go version: go1.9.2 

Git commit: 03596f5 

Built: Wed Jan 10 20:11:05 2018 
OS/Arch: linux/amd64 
Experimental: false 
Orchestrator: swarm 


Server: 
Engine: 
Version: 18.01.0-ce 
API version: 1.35 (minimum version 1.12) 
Go version: go1.9.2 
Git commit: 03596f5 
Built: Wed Jan 10 20:09:37 2018 
OS/Arch: linux/amd64 
Experimental: false 


如 果 读 者 能 成 功 获取 来 和 目 客户 端 和 服务 端的 啊 应 ， 那 么 可 以 继续 
后 面 的 操作 。 如 果 读 者 正在 使 用 Linux， 并 且 服 务 端 返回 了 异常 响 
新， 则 可 尝试 在 命令 的 前 面 加 上 sudo ——sudo docker version 


。 如 采 加 上 sudo 之 后 命令 正常 运行 ， 那 么 读者 需要 将 当前 用 户 加 入 
到 docker 用 户 组 ， 或 者 给 本 书后 面 的 命令 都 加 上 sudo A ° 


4.1.1 镜像 


将 Docker 镜 像 理解 为 一 个 包含 了 OS 文件 系统 和 应 用 的 对 象 会 很 有 
帮助 。 如 果 读 者 实际 操作 过 ， 就 会 认为 与 虚拟 机 模板 类 似 。 虚 拟 机 模 
板 本 质 上 是 处 于 关机 状态 的 虚拟 机 。 在 Docker 世 界 中 ， 镜 像 实际 上 等 
oo 。 如 果 读 者 是 一 名 开发 者 ， 可 以 将 镜像 比 作 类 

Class) ° 


在 Docker 主 机 上 运行 docker image ls 命令 。 


$ docker image ls 
REPOSITORY TAG IMAGE ID CREATED SIZE 


如 果 读 者 运行 命令 环境 是 刚 完 成 Docker 安 逆 的 主机 ， 或 者 是 Play 
With Docker， 那 么 Docker 主 机 中 应 当 没 有 任何 镜像 ， 命 令 输 出 内 容 会 
如 上 所 示 。 


在 Docker 主 机 上 获取 镜像 的 操作 被 称 为 拉 取 (pulling) 。 如 果 使 
用 Linux， 那 么 会 拉 取 ubuntu:1latest 镜像 ， 如 果 使 用 Windows， 则 
会 拉 取 microsoft/powershell:nanoserver 镜像 。 


latest: Pulling from library/ubuntu 
50aff78429b1: Pull complete 
f6d82e297bce: Pull complete 
275abb2c8a6f: Pull complete 
9f15a39356d6: Pull complete 
fc0342a94c89: Pull complete 


Digest: sha256:fbaf303...c0ea5d1212 
Status: Downloaded newer image for 


ubuntu:latest 


再 次 运行 docker image ls 命令 来 查看 刚刚 拉 取 的 镜像 。 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED SIZE 
ubuntu latest 00fd29ccc6f1 3 weeks ago 111MB 


关于 镜像 的 存储 位 置 以 及 镜像 内 部 构成 ， 本 书 会 在 后 续 的 章节 中 
详细 介绍 。 现 在 ， 读 者 只 需 知 道 镜像 包含 了 基础 操作 系统 ， 以 及 应 用 
程序 运行 所 需 的 代码 和 依赖 包 。 刚 才 拉 取 的 ubuntu 镜像 有 一 个 精简 
版 的 Ubuntu Linux 文 件 系统 ， 其 中 包含 部 分 Ubuntu 常用 工具 。 而 
Windows 示 例 中 拉 取 的 microsoft/powershell 镜像 ， 则 包含 了 带 
有 PowerShell 的 Windows Nano Server 操 作 系 统 。 


如 果 拉 取 了 如 nginx 或 者 microsoft/iis 这 样 的 应 用 容器 ， 则 
读者 会 得 到 一 个 包含 操作 系统 的 镜像 ， 并 且 在 镜像 中 还 包括 了 运行 
Nginx 或 IIS 所 需 的 代码 。 


重要 的 是 ，Docker 的 每 个 镜像 都 有 自己 的 唯一 JD。 用 户 可 以 通过 
引用 镜像 的 ID 或 名 称 来 使 用 镜像 。 如 果 用 户 选 择 使 用 镜像 ID， 通 党 只 
需要 输入 ID 开头 的 几 个 字符 即 可 因为 ID 是 唯一 的 ，Docker 知 道 用 
户 想 引用 的 具体 镜像 是 哪个 。 


41.2 Aes 

到 目前 为 止 ， 读 者 已 经 拥有 一 个 拉 取 到 本 地 的 镜像 ， 可 以 使 用 
docker container run 命令 从 镜像 来 启动 容器 。 

在 Linux 中 局 动容 种 的 命令 如 下 。 


$ docker container run -it ubuntu:latest /bin/bash 
root@6dc20d508db0: /# 


在 Windows 中 启动 容器 的 命令 如 下 。 


> docker container run -it microsoft/powershell:nanoserver 
pwsh .exe 


Windows PowerShell 


Copyright (C) 2016 Microsoft Corporation. All rights reserved. 
PS C:\> 


仔细 观察 上 面 命 令 的 输出 内 容 ， 会 注意 到 每 个 实例 中 的 提示 符 都 
发 生 了 变化 。 这 是 因为 -it 参数 会 将 Shell 切 换 到 容 需 终端 一 一 现在 已 
经 位 于 容 右 内 部 了 ! 


接 下 来 分 析 一 下 docker container run 命令 。docker 
container run 告诉 Docker daemon 启 动 新 的 容器 。 其 中 -it 参数 告 
诉 Docker 开 启 容 器 的 交互 模式 并 将 读者 当前 的 Shell 连 接 到 容器 终端 

(在 容器 章节 中 会 详细 介绍 ) 。 接 下 来 ， 命 令 告 诉 Docker， 用 户 想 基 
Fubuntu: latest 镜像 启动 容器 (如 果 用 户 使 用 Windows， 则 是 基 
Fmicrosoft/powershell:nanoserver 镜像 ) 。 最 后 ， 命 令 告 
诉 Docker， 用 户 想 要 在 容器 内 部 运行 哪个 进程 。 对 于 Linux 示 例 来 说 是 
运行 Bash Shell， 对 于 Windows 示 例 来 说 则 是 运行 PowerShell 。 


在 容器 内 部 运行 ps 命令 查看 当前 正在 运行 的 全 部 进程 。 


Linux 示 例如 下 。 


root@6dc20d508db0:/# ps -elf 

F S UID PID PPID NI ADDR SZ WCHAN STIME TTY TIME CMD 

4 S root 1 0 0 - 4560 wait 13:38 ? 00:00:00 
/bin/bash 

© R root 9 8606 - 13:38 ? 00:00:00 ps - 
elf 


Handles NPM(K) PM(K) WS (K) CPU(s) Id SI ProcessName 
0 5 964 1292 0.00 4716 4 CExecsSvc 
0 5 592 956 0.00 4524 4 csrss 
0 0 0 4 0 © Idle 
0 18 3984 8624 0.13 700 4 lsass 
0 52 26624 19400 1.64 2100 4 powershell 
0 38 28324 49616 1.69 4464 4 powershell 
0 8 1488 3032 0.06 2488 4 services 
0 2 288 504 0.00 4508 © smss 


0 8 1600 3004 0.03 908 4 svchost 
0 12 1492 3504 0.06 4572 4 svchost 
0 15 20284 23428 5.64 4628 4 svchost 
0 15 3704 7536 0.09 4688 4 svchost 
0 28 5708 6588 0.45 4712 4 svchost 
0 10 2028 4736 0.03 4840 4 Svchost 
0 11 5364 4824 0.08 4928 4 svchost 
0 0 128 136 37.02 4 0 System 
0 7 920 1832 0.02 3752 4 wininit 
0 8 5472 11124 0.77 5568 4 WmiPrvSE 


Linux #48 FNE PN SERS ° 


e PID 1: 代表 /bin/bash 进程 ， 该 进 
运行 


时 是 通过 docker 


=, OE 


container run 命令 令 来 通知 容器 THY ° 
。 aes 代表 ps -elf 进程 ， 查 看 当前 运行 中 进程 所 使 用 的 命令 / 
程序 。 


命令 输出 中 展示 的 ps -elf 进程 存在 一 定 的 误导 ， 因 为 这 个 程序 
在 ps 命令 退出 后 就 结束 了 。 这 意味 着 容器 内 长 期 运行 的 进程 其 实 只 
有 /bin/bash 。 


Windows 容 屁 运行 中 的 进程 会 更 多 ， 这 是 由 Windows ERAL 
作 方 式 决定 的 。 Wig 中 的 进程 比 Linux 容 器 要 多 ， 但 与 稼 
见 的 Windows 服 务 器 相 比 ， 其 进程 数量 却 是 明显 偏 少 的 。 


按 Ctr1-PQ 组 合 键 ， 可 以 在 退出 容器 的 同时 还 保持 容 如 af 。 这 
样 Shell 束 会 返回 到 Docker 主 机 终端 。 可 以 通过 查看 Shell 提 示人 符 来 确 
认 。 


现在 读者 已 经 返回 到 Docker 主 机 的 Shell 提 示 符 ， 再 次 运行 ps 命 


令 。 


Linux 示 例如 下 。 


$ ps -elf 

F S UID PID PPID NI ADDR SZ WCHAN TIME CMD 

4 S root 1 0 0 - 9407 - 00:00:03 /sbin/init 
1 S root 2 0 0 - 9 - 00:00:00 [kthreadd] 
1 S root 3 2 0 - 0 - 00:00:00 


[ksoftirqd/0] 


1 S root 5 2 -20 0 - 00:00:00 
[kworker/0:0H] 


1 S root 7 2 -0 - 0 - 00:00:00 [rcu_sched] 
<Snip> 
© R ubuntu 22783 22475 © - 9021 - 00:00:00 ps -elf 


Windows 示 例如 下 。 


> ps 
Handles NPM(K) PM(K) 
ProcessName 


© 


amazon - 
ssm-agen 

84 
87 
203 
210 
257 
116 
85 
242 
95 
137 
401 
307 

<SNIP> 
1888 
272 
72 
244 
142 
148 


CExecSvc 
CExecSvc 
conhost 
conhost 
csrss 
csrss 
csrss 
csrss 
csrss 
docker 
dockerd 
dwm 


N 
OOOOOOOOONOoO 


FPONANWRFRONN AW 


ow 


OOO0OOON 


System 
TabTip 
TabTip32 
taskhostw 
WmiPrvSE 
WmiPrvSE 


BRWNNDN O 


可 以 看 到 与 容器 相 比 ，Docker 主 机 中 运行 的 进程 数 要 多 很 多 。 
Windows 容 絮 中 运行 的 进程 要 远 少 于 Windows 主 机 ，Linux 容 器 中 的 进 
程 数 也 远 少 于 Linux 主 机 。 


在 之 前 的 步骤 当中 ， 是 使 用 Ctrl1-PQ 组 合 键 来 退出 容器 的 。 在 容 
器 内 部 使 用 该 操作 可 以 退出 当前 容器 ， 但 不 会 杀 死 容器 进程 。 读 者 可 
以 通过 docker container 1s 命令 查看 系统 内 全 部 处 于 运行 状态 
的 容器 。 


$ docker container 1s 
CONTAINER ID IMAGE COMMAND CREATED STATUS 
NAMES 


e2b69eeb55cb ubuntu:latest "/bin/bash" 7 mins Up 7 min 
vigilant_borg 


Lute fa ks A PT Pao te HTN BP 
ABTS Aer o FI AIA Ate, UER Aas CER Ha AIS ITH o 
读者 可 以 看 到 这 个 进程 是 7min 之 前 创建 的 ， 并 且 一 直 在 运行 。 


4.1.3 ”连接 到 运行 中 的 容器 


执行 docker container exec 命令 ， 可 以 将 Shell 连 接 到 一 个 
运行 中 的 容器 终端 * 因为 之 前 示例 中 的 容器 仍 在 运行 ， 所 以 下 面 的 示 
例会 创建 到 该 容器 的 新 连接 。 


Linux 示 例如 下 。 


$ docker container exec -it vigilant_borg bash 
root@e2b69eeb55cb: /# 


WAPAA “vigilant brog” ° Deer NSE FY Aa PRA 
lA], Prosi ei “vigilant_brog” RAK A Docker EHL E247 PIA 
an PRE ID 。 


Windows 示 例如 下 。 


> docker container exec -it pensive_hamilton pwsh.exe 


Windows PowerShell 


Copyright (C) 2016 Microsoft Corporation. All rights reserved. 
PS C:\> 


本 例 中 使 用 的 容器 为 “pensive_hamilton”。 同样 ， 读 者 环境 中 的 容 
铬 名 称 会 不 同 ， 所 以 请 记得 将 “pensive_hamilton” 玲 换 为 自己 Docker 主 
机 上 运行 中 的 容器 名 称 或 者 ID © 


注意 ，Shell 提 示 符 义 发 生 了 变化 。 此 时 已 登录 到 了 容 右 内部。 


docker container exec 命令 的 格式 是 docker container 
exec <options> <container-name or container-id> 
<command/app> ° 在 示例 中 ， 将 本 地 Shell 连 授 到 容 絮 是 通过 -it 参 
数 实现 的 。 本 例 中 使 用 名 称 引 用 容 右 ， 并 且 告 诉 Docker 运 行 Bash Shell 
(在 Windows 示 例 中 是 PowerShell) 。 使 用 十 六 进 制 了 的 方式 也 可 以 很 
容易 地 引用 具体 容器 。 


再 次 使 用 Ctr1L-PQ 组 合 键 退出 容器 。 
Shell 提 示 符 应 当 退 回 到 Docker 主 机 中 。 


再 次 运行 docker container 1s 命令 来 确认 容器 仍 处 于 运行 
状态 。 


$ docker container 1s 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
NAMES 


e2b69eeb55cb ubuntu:latest "/bin/bash" 9 mins Up 9 min 
vigilant_borg 


通过 docker container stop 和 docker container rm 命 
令 来 停止 并 杀 死 容器 。 切 记 需 要 将 示例 中 的 名 称 /ID 敬 换 为 读者 目 己 的 
容器 对 应 的 名 称 和 ID 。 


$ docker container stop vigilant_borg 
vigilant_borg 


$ docker container rm vigilant_borg 
vigilant_borg 


通过 运行 docker container 1s 命令 ， 并 指定 -a 参数 来 确认 
容器 已 经 被 成 功 删除 。 添 加 -a 的 作用 是 让 Docker 列 出 所 有 容器 ， 甚 至 
包括 那些 处 于 停止 状态 的 。 


$ docker container ls -a 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 


NAMES 
4.2 ”开发 视角 


Aaa BN DA ! 
在 本 节 中 ， 会 分 析 一 份 应 用 代码 中 的 Dockerfile 并 将 其 容 志 化， 最 
0 o 相关 代码 可 从 本 书 配 套 资源 或 我 的 Github 主 页 
获取 。 


本 世 接 下 来 的 内 容 会 基于 Linux 示例 进行 演示 。 但 其 实 两 个 示例 
中 都 容 志 化 了 相同 的 Web 应 用 代码 ， 所 以 步 又 也 是 一 样 的 。 


进入 到 仓库 文件 目录 之 下 ， 碍 看 其 内 容 。 


$ cd psweb 


ubuntu ubuntu : app.js 
ubuntu ubuntu > circle.yml 
ubuntu ubuntu : Dockerfile 
ubuntu ubuntu : package. json 


-rw-rw-r-- ubuntu ubuntu : README .md 
drwxrwxr-x 2 ubuntu ubuntu ; test 
drwxrwxr-x 2 ubuntu ubuntu views 


对 于 Windows 示 例 ， 读 者 需要 cd 到 dotnet-docker- 
samples\aspnetapp 目录 当中 。 


Linux 的 示例 是 一 个 简单 的 Node.js Web 应 用 。Windows 示 例 是 一 个 
简单 的 ASPNET Web 应 用 。 


每 个 仓库 中 都 包含 一 个 名 为 Dockerfile 的 文件 。Dockerfile 是 一 
个 纯 文 本 文件 ， 其 中 描述 了 如 何 将 应 用 构建 到 Docker 镜 像 当 中 。 


查看 Dockerfile 的 全 部 内 容 。 


$ cat Dockerfile 


FROM alpine 

LABEL maintainer="nigelpoulton@hotmail.com" 
RUN apk add --update nodejs nodejs-npm 
COPY . /src 

WORKDIR /src 

RUN npm install 

EXPOSE 8080 

ENTRYPOINT ["node", "./app.js"] 


Windows 示 例 中 的 Dockerfile 内 容 会 有 所 不 同 。 但 是 ， 这 些 区 别 在 
现 阶段 并 不 重要 。 关 于 Dockerfile 的 更 多 细 世 本 书 会 在 接 下 来 的 章 和 中 
进行 详细 介绍 。 现 在 ， 只 需要 知道 Dockerfile 的 每 一 行 都 代表 一 个 用 于 
构建 镜像 的 指令 即 可 。 


使 用 docker image build 命令 ， 根 据 Dockerfile 中 的 指令 来 创 
建新 的 镜像 。 示 例 中 新 建 的 Docker 镜 像 名 为 test:latest 。 


一 定 要 在 包含 应 用 代码 和 Dockerfile 的 目录 下 执行 这 些 命 令 。 


$ docker image build -t test:latest . 


Sending build context to Docker daemon 74.75kB 

Step 1/8 : FROM alpine 

latest: Pulling from library/alpine 

88286f41530e: Pull complete 

Digest: sha256:f006ecbb824. . .0c103F4820a417d 

Status: Downloaded newer image for alpine:latest 
---> 76da55c8019d 

<Snip> 

Successfully built f154cb3ddbd4 

Successfully tagged test:latest 


Windows 示 例 构 建 可 能 花费 比较 长 的 时 间 。 构 建 时间 长 短 是 由 构建 过 程 中 要 拉 
取 的 镜像 大 小 和 复杂 度 决 的 


一 旦 构建 完成 ， 就 可 以 确认 主机 上 是 否 存在 test:1latest 镜 
Re 


$ docker image ls 
REPO TAG IMAGE ID CREATED SIZE 
Test latest f154cb3ddbd4 1 minute ago 55.6MB 


读者 现在 已 经 拥有 一 个 新 的 Docker 镜 像 ， 其 中 包含 了 应 用 程序 。 
从 镜像 启动 容器 ， 并 测试 应 用 。 
Linux 代 人 码 如 下 。 


$ docker container run -d \ 
--name web1 \ 
--publish 8080:8080 \ 
test:latest 


FT FPWebyt bias, FEELERS ABA B88 T Pe Docker #LAY 
DNS 名 称 或 者 了 地 址 ， 并 在 后 面 加 上 端口 号 8080 。 然 后 就 能 看 到 图 
4.1 的 Web 页 面 。 


如 果 读 者 使 用 的 是 Windows 示 例 或 者 Mac 版 Docker， 则 需要 将 地 址 


替换 为 1ocalhost :8080 或 者 127 .0.0.1:8080 : 如 果 读 者 使 用 的 
是 Play with Docker， 需 要 单 击 终端 界面 上 的 8080 超 链接 。 


[O Docker Rocks 


x 
= (© © ec2-54-229-110-187.eu-west-1.compute.amazonaws.com:8080 六 —o Re 


Hello Pluralsighters!!! 


Simple web app that is not patched and not safe!! 


图 4.1 Linux 系 统 测试 应 用 Web 界 面 


Windows 代 码 如 下 。 


> docker container run -d \ 
--name webi \ 
--publish 8080:80 \ 


test:latest 


F FF Webi bias, TEHBLER + MA Ana tt ATE A Docker+WLAY 


DNS 名 称 或 者 IP 地 址 ， 并 在 后 面 加 上 端口 号 8080 ， 然 后 职能 看 到 图 
4.2 的 Web 页 面 。 


iJ Home Page -aspnetapp X 
€ 


(Gm © ec2-34-253-201-183.eu-west-1.compute.amazonaws.com:8000 vy 国电 | 


aspnetapp Home About Contact 


ASP.NET Core | Windows Linux OSX 


< Learn how to build ASP.NET apps that can run 


exexe) 


Application uses 


¢ Sample pages using ASP.NET Core MVC 
+ Bower for managing client-side libraries 
e Theming using Bootstrap 


214.2 ”Windows 系 统 测试 应 用 Web 界 


如 果 读 者 使 用 的 是 Windows 示 例 或 者 Mac 版 Docker， 则 可 参考 上 面 
的 规则 。 


读者 已 经 成 功 将 应 用 代码 构建 到 了 Docker 镜 像 当中 ， 然 后 以 容 卓 
的 方式 启动 该 镜像 ， 这 个 过 程 叫 作 “ 应 用 容 絮 化”。 


ait 
4.3 本章 小 结 


在 运 维 部 分 ， 我 们 下 载 了 Docker 镜 像 ， 启 动容 器 并 且 登 录 到 容器 
内 部 执行 相应 的 命令 ， 最 后 停止 容器 并 删除 。 


在 开发 部 分 ， 我 们 完成 了 简单 应 用 的 容积 化 过 程 : 从 GitHub 拉 取 
应 用 源 代 码 ， 并 且 通 过 Dockerfile 中 的 指令 ， 将 应 用 代码 构建 到 镜像 之 
中 。 接 着 运行 了 该 容器 化 应 用 。 


本 章 的 整体 介绍 能 帮助 读者 更 好 地 理解 接 下 来 的 章节 ， 包 括 镜像 
SARRAT o 


第 5 章 ”Docker3| 警 


在 本 革 ， 我 们 将 快速 了 解 Docker 引 擎 的 内 部 原理 。 

即便 不 了 解 本 章 的 内 容 ， 也 不 影响 使 用 Docker。 因 此 ， 读 者 可 目 
行 跳 过 本 章 。 然 而 ， 只 有 理解 了 某 项 技术 的 底层 原理 ， 才 能 算 作 真正 
掌握 了 它 。 所 以 ， 为 了 成 为 真正 的 Docker 大 是 ， 建议 阅读 本 章 内 容 。 

本 章 将 仅 介绍 理论 ， 而 不 涉及 相关 练习 。 


本 章 属于 本 书 技术 篇 的 一 部 分 ， 因 此 按照 惯例 仍然 采用 “三 步 
法 "， 分 为 3 个 小 节 来 介绍 。 


简介 : 在 排队 购买 咖啡 的 时 候 就 能 够 读 完 的 ， 两 到 三 段 的 概述 。 
详解 : 详细 介绍 本 章 知识 的 细节 。 
命令 : 快速 回顾 本 章 中 了 解 到 的 相关 命令 。 


下 面 进入 Docker 引 警 的 学 习 吧 ! 


5.1 Docker 引 人 擎 -人 简介 


Docker 引 警 是 用 来 运行 和 管理 容器 的 核心 软件 。 通 常人 们 会 简单 
地 将 其 代 指 为 Docker 或 Docker 平 台 。 如 果 有 读者 对 VMware 略 知 一 
二 ， 那 么 可 以 将 Docker 引 人 警 理解 为 ESXi 的 角色 。 


基于 开放 容器 计划 (OCI) 相关 标准 的 要 求 ，Docker 引 警 采 用 了 
模块 化 的 设计 原则 ， 其 组 件 是 可 替换 的 。 


从 多 个 角度 来 看 ，Docker 引 擎 束 像 汽车 引擎 一 一 二 者 都 是 模块 化 
的 ， 并 且 由 许多 可 交换 的 部 件 组 成 。 


。 汽 车 引擎 由 许多 专用 的 部 件 协同 工作 ， AM BEEF n MTR, 例 
如 进 气 管 、 市 气门 、 气 氏 、 火 花 塞 、 排 气管 等 


。 Docker 引 擎 由 许多 专用 的 工具 协同 工作 ， 从 而 可 以 创建 和 运行 容 
妖 ， 例 如 API、 执 行 驱 动 、 运 行 时 、shim 进 程 等 。 
至 本 书 撰 写 时 ，Docker3 引 | 擎 由 如 下 主要 的 组 件 构 成 : Docker 客 户 
端 (Docker Client) 、Docker 守 护 进 程 (Docker daemon) ` containerd 
以 及 runc。 它 们 共同 负责 容 屁 的 创建 和 运行 。 


忌 体 逻辑 如 图 5.1 所 示 。 


Docker 引擎 


一 一 
| | 
| | 


图 5.1 Docker 总 体 逻 辑 


本 书 中 ， 当 提 到 runc 和 containerd 时 ， 将 一 律 使 用 小 写 
的 “> 和 “c”。 


5.2 ” Docker 引擎 一 详解 


Docker 首 次 发 布 时 ，Docker 引 警 由 两 个 核心 组 件 构成 : LXCA 


Docker daemon ° 


Docker daemon 是 单一 的 二 进 制 文件 ， 包 含 诸 如 Docker 客 户 端 、 
Docker API、 容 絮 运 行 时 、 镜 像 构 建 等 。 


LXC 提 供 了 对 诸如 命名 空间 (Namespace) 和 控制 组 (CGroup) 
等 基础 工具 的 操作 能 力 ， 它 们 是 基于 Linux 内 核 的 容 妮 虚拟 化 技术 。 


图 5.2 曾 释 了 在 Docker 旧 版 本 中 ，Docker daemon、LXC 和 操作 系 
统 之 间 的 交互 天 系 。 


> 


Docker daemon 


图 5.2 ”先前 的 Docker 架 构 


5.2.1 摆脱 LXC 


对 LXC 的 依赖 目 始 至 终 都 是 个 问题 。 


首先 ，LXC 是 基于 Linux 的 。 这 对 于 一 个 立志 于 路 平台 的 项 目 来 说 
是 个 问题 。 


其 次 ， 如 此 核心 的 组 件 依赖 于 外 部 工具 ， 这 会 给 项 目 市 来 巨大 风 
险 ， 甚 至 影响 其 发 展 。 


此 ，Docker 公 司 开 发 了 名 为 Libcontainer 的 自 研 工具 ， 用 于 替代 
LXC。Libcontainer 的 目标 是 成 为 与 平台 无 关 的 工具 ， 可 基于 不 同 内 核 
为 Docker 上 层 提 供 必 要 的 容 咒 交互 功能 。 

在 Docker 0.9 版 本 中 ，Libcontainer 取 代 LXC 成 为 默认 的 执行 驱 
A O 


5.2.2” 据 弃 大 而 全 的 Docker daemon 


随 着 时 间 的 推移 ，Docker daemon 的 整体 性 市 来 了 越 来 越 多 的 问 


题 


。 难于 变更 。 


运行 越 来 越 慢 。 
这 并 非 生态 (或 Docker 公 司 ) 所 期 望 的 。 


Docker 公 司 意识 到 了 这 些 问 题 ， 开 始 努 力 着 手 拆 解 这 个 大 而 全 的 
Docker daemonj 进 程 ， 并 将 其 模块 化 。 这 项 任务 的 目标 是 尽 可 能 拆 解 出 
其 中 的 功能 特性 ， 并 用 小 而 专 的 工具 来 实现 它 。 这 些小 工具 可 以 是 可 
蔡 换 的 ， 也 可 以 被 第 三 方 拿 去 用 于 构建 其 他 工具 。 这 一 计划 遵循 了 在 
UNIX 中 得 以 实践 并 验证 过 的 一 种 软件 哲学 : 小 而 专 的 工具 可 以 组 钱 为 
大 型 工具 。 

这 项 拆 解 和 重 构 Docker 引 警 的 工作 仍 在 进行 中 。 不 过 ， 所 有 容 需 
四 容器 运行 时 的 代码 已 经 完全 从 daemon 中 移 除 ， 并 重 构 为 小 而 专 


目前 Docker 引 擎 的 架构 示意 图 如 图 5.3 所 示 ， 图 中 有 简要 的 描述 。 


Docker client Docker #4 (CLI) 
> 


Docker daemon API 和 其 他 特性 


容器 Supervisor 
start|stop|pause. . 


启动 无 守护 进程 容器 


容器 运行 时 
《内 核 原 语 接口 ) 


运行 容器 


图 5.3 ”Docker 引 警 的 架构 


5.2.3 ”开放 容器 计划 (OCI) 的 影响 


当 Docker 公 司 正 在 进行 Docker daemon 进 程 的 拆 解 和 重 构 的 时 候 ， 
OCI 也 正在 着 手 定义 两 个 容器 相关 的 规范 (或 者 说 标准 ) 。 


。 镜像 规 范 。 
。 容 器 运行 时 规范 。 


两 个 规范 均 于 2017 年 7 月 发 布 了 1.0 版 。 
Docker 公 司 参 与 了 这 些 规 范 的 制定 工作 ， 并 贡献 了 许多 的 代码 。 


从 Docker 1.11 版 本 (2016 年 初 ， 开始 ，Docker 引 警 尽 可 能 实现 了 
OCI 的 规范 。 例 如 ，Docker daemon 不 再 包含 任何 容器 运行 时 的 代码 
一 一 所 有 的 容 絮 运行 代码 在 一 个 单独 的 OCI 兼 容 层 中 实现 。 默 认 情 况 
下 ，Docker 使 用 runc 来 实现 这 一 点 。runc 是 OCI 容 絮 运 行 时 标准 的 参考 
实现 。 如 图 5.3 中 的 runc 容器 运行 时 层 。runc 项 目的 目标 之 一 就 是 与 
OCI 规 范 保持 一 致 。 目 前 OCI 规 范 均 为 1.0 版 本 ， 我 们 不 希望 它们 频繁 
地 和 迭代， 毕竟 稳定 胜 于 一 切 。 


除 此 之 外 ，Docker3| 敬 中 的 containerd 组 件 确 保 了 Docker 镜 像 能 够 
以 正确 的 OCI Bundle 的 格式 传递 给 runc。 


在 OCI 规 范 以 1.0 版 本 正式 发 布 之 前 ，Docker 引 警 就 已 经 遵循 该 规范 实现 了 部 分 


5.2.4 runc 


如 前 所 述 ，runc 是 OCI 容 器 运行 时 规范 的 参考 实现 。Docker 公 司 参 
与 了 规范 的 制定 以 及 runc 的 开发 。 


去 粗 取 精 ， 会 发 现 runc 实 质 上 是 一 个 轻 量 级 的 、 针 对 Libcontainer 
进行 了 包装 的 命令 行 交 互 工具 (Libcontainer 取 代 了 早期 Docker 架 构 中 
的 LXC) 。 


runc 生 来 只 有 一 个 作用 创建 容 句 ， 这 一 点 它 非 党 拿手 ， 速 度 
很 快 ! 不 过 它 是 一 个 CLI 包 装 器 ， 实 质 上 就 是 一 个 独立 的 容器 运行 时 
工具 。 因 此 直接 下 载 它 或 基于 源码 编译 二 进 制 文 件 ， 即 可 拥有 一 个 全 
功能 的 runc。 但 它 只 是 一 个 基础 工具 ， 并 不 提供 类 似 Docker 引 警 所 拥 
有 的 丰富 功能 。 


有 时 也 将 runc 所 在 的 那 一 层 称 为 “DOCI 层 ”， 如 图 5.3 所 示 。 关 于 runc 
的 发 布 信息 见 GitHub 中 opencontainers/runc 麻 的 release 。 


5.2.5 containerd 


在 对 Docker daemon 的 功能 进行 拆 解 后 ， 所 有 的 容器 执行 逻辑 被 重 
构 到 一 个 新 的 名 为 containerd (发 首 为 container-dee) 的 工具 中 。 它 的 
主要 任务 是 容器 的 生命 周期 管理 -start | stop|pause|rm.... 

containerd 在 Linux 和 Windows 中 以 daemon 的 方式 运行 ， 从 1.11 版 本 
之 后 Docker 就 开始 在 Linux 上 使 用 它 。Docker3 引 | 擎 技术 栈 中 ，containerd 
位 于 daemon 和 runc 所 在 的 OCI 层 之 间 。Kubernetes 也 可 以 通过 cri- 


containerd 使 用 containerd ° 


如 前 所 述 ，containerd 最 初 被 设计 为 轻 量 级 的 小 型 工具 ， 仪 用 于 容 
铬 的 生命 周期 管理 。 然 而 ， 随 着 时 间 的 推移 ， 它 被 赋予 了 更 多 的 功 
能 ， 比 如 镜像 管理 。 


其 原因 之 一 在 于 ， 这 样 便于 在 其 他 项 目 中 使 用 它 。 比 如 ,在 
Kubermnetes 中 ，containerd 束 是 一 个 很 受 欢迎 的 容器 运行 时 。 然 而 在 
Kubernetes 这 样 的 项 目 中 ， 如 果 containerd 能 够 完成 一 些 诸如 push 和 pull 
镜像 这 样 的 操作 就 更 好 了 。 因 此 ， 如 今 containerd 还 能 够 完成 一 些 除 容 
右 生 命 周 期 管理 之 外 的 操作 。 不 过 ， 所 有 的 额外 功能 都 是 模块 化 的 、 
可 选 鸭 ， 便 于 目 行 选择 所 需 功能 。 所 以 ，Kubernetes 这 样 的 项 目 在 使 
用 containerd 时 ， 可 以 仅 包 含 所 需 的 功能 © 


containerd 是 由 Docker 公 司 开 发 的 ， 并 捐献 给 了 云 原 生计 算 基 金 会 
(Cloud Native Computing Foundation, CNCF) 。2017 年 12 月 发 布 了 1.0 
版 本 ， 上 有 具体 的 发 布 信息 见 GitHub 中 的 containerd/ containerd 库 的 


releases ° 


5.2.6 ”启动 一 个 新 的 容器 (示例 ) 


现在 我 们 对 Docker 引 擎 已 经 有 了 一 个 总 体 认 识 ， 也 了 解 了 一 些 历 
史 ， 下 面 介绍 一 下 创建 新 容器 的 过 程 。 


常用 的 启动 容 絮 的 方法 就 是 使 用 Docker 命 令 行 工 具 。 下 面 的 
docker container run 命令 会 基于 alpine:1latest 镜像 启动 一 
个 新 容器 。 


$ docker container run --name ctri -it alpine:latest sh 


当 使 用 Docker 命 令 行 工具 执行 如 上 命令 时 ，Docker 客 户 端 会 将 其 
转换 为 合适 的 API 格 式 ， 并 发 送 到 正确 的 API 端 点 。 


API 是 在 daemon 中 实现 的 。 这 套 功 能 丰富 、 基 于 有 版 本 的 REST API 
已 经 成 为 Docker 的 标志 ， 并 且 被 行业 接受 成 为 事实 上 的 容 右 API。 


一 旦 daemon 接 收 到 创建 新 容器 的 命令 ， 它 束 会 同 containerd 发 出 调 
用 。daemon 已 经 不 再 包含 任何 创建 容 絮 的 代码 了 ! 


daemon 使 用 一 种 CRUD 风 格 的 API， 通 过 gRPC 与 containerd 进 行 通 


A 


HAZ Wcontainerd, (Le EIFAM Meee, Mets erunck 
做 。containerd 将 Docker 镜 像 转 换 为 OCI bundle， 并 让 runc 基 于 此 创建 
一 个 新 的 容 絮 。 
然后 ，runc 与 操作 系统 内 核 接 口 进 1 
(Namespace、CGroup 等 ) KAERA 
启动 ， 启 动 完毕 后 ，runc 将 会 退出 。 


现在 ， 容 器 局 动 完 毕 了 。 整 个 过 程 如 图 5.4 所 示 。 


J 了 通信 ， 基 于 所 有 必要 的 工具 
o 容器 进程 作为 ranc 的 子 进 程 


Docker client 向 Docker API 发 出 docker container run 
命令 


> 


Docker daemon raia a 
指示 containerd 启动 新 容器 
给 runc 传 递 OCIl bundle (镜像 ) 
指示 runc 创 建 容器 


创建 容器 


图 5.4 启动 新 容器 的 过 程 


5.2.7 ”该 模型 的 显著 优势 


将 所 有 的 用 于 局 动 、 管 理 容 器 的 逻辑 和 代码 从 daemon 中 移 除 ， 意 
味 着 容器 运行 时 与 Docker daemon 是 解 耘 的， 有 时 称 之 为 “无 守护 进程 
的 容器 (daemonless container) ”， 如 此 ， 对 Docker daemon 的 维护 和 升 
级 工作 不 会 影响 到 运行 中 的 容器 。 


在 旧 模 型 中 ， 所 有 容器 运行 时 的 逻辑 都 在 daemon 中 实现 ， 启 动 和 
停止 daemon 会 导致 簿 主机 上 所 有 运行 中 的 容 属 被 杀 掉 。 这 在 生产 环境 
中 是 一 个 大 问题 一 想 一 想 新 版 Docker 的 发 布 频次 吧 ! 每 次 daemon 的 
升级 都 会 杀 掉 答 主 机 上 所 有 的 容 絮 ， 这 太 糟 了 ! 


幸运 的 是 ， 这 已 经 不 再 是 个 问题 。 


5.2.8 shim 


本 章 中 的 部 分 图 片 展 示 了 shim 组 件 。 


shim 是 实现 无 daemon 的 容器 〈 如 5.2.7 节 所 述 ， 用 于 将 运行 中 的 容 
器 与 daemon 解 厢 ， 以 便 进行 daemon 升 级 等 操作 ) 不 可 或 缺 的 工具 。 


前 面 捉 到 ，containerd 指 挥 runc 来 创建 新 容 右 。 事 实 上， 每 次 创建 
容 絮 时 它 都 会 fork 一 个 新 的 runc 实 例 。 不 过 ， 一旦 容器 创建 完毕 ， 对 应 
的 runc 进 程 就 会 退出 。 因 此 ， 即 使 运行 上 百 个 容器 ， 也 无 须 你 持 上 百 
个 运行 中 的 runc 实 例 。 


一 旦 容 磊 进程 的 父 进程 runc 退 出 ， 相 关联 的 containerd-shim 进 程 就 
会 成 为 容器 的 父 进 程 。 作 为 容 妖 的 父 进 程 ，shim 的 部 分 职 丙 如 下 。 


。 你 持 所 有 STDIN 和 STDOUT 流 古 开 局 状态 ， 从 而 当 daemon 重 局 的 
时 候 ， 容 右 不 会 因为 管道 (pipe) 的 关闭 而 终止 
。 将 容 硕 的 退出 状态 反馈 给 daemon e 


5.2.9 ”在 Linux 中 的 实现 


在 Linux 系统 中 ， 前 面谈 到 的 组 件 由 单独 的 二 进 制 来 实现 ， 具 体 
包括 dockerd(Docker daemon) ` docker-containerd(containerd) ` docker- 
containerd-shim (shim)#ldocker-runc (runc) ° 


通过 在 Docker 牡 主机 的 Linux 系 统 中 执行 ps 命令 可 以 看 到 以 上 组 
件 的 进程 。 当 然 ， 有 些 进程 只 有 在 运行 容器 的 时 候 才 可 见 。 


5.2.10 ”daemon 的 作用 


当 所 有 的 执行 逻辑 和 运行 时 代码 都 从 daemon 中 剥离 出 来 之 后 ， 问 
题 出 现 了 daemon 中 还 剩 什 么 ? 


显然 ， 随 着 越 来 越 多 的 功能 从 daemon 中 拆 解 出 来 并 被 模块 化 ， 这 
一 问题 的 答案 也 会 发 生变 化 。 不 过 ， 当 本 书 反 写 时 ，daemon 的 主要 功 
人 ` 镜像 构建 、REST API > FORU + KE > BHD MAG 
E Z o 


5.3 “本章 小 结 


基于 OCI 的 开放 标准 ，Docker 引 警 目前 采用 模块 化 设计 。 


Docker daemon 实 现 了 Docker API， 该 API 是 一 套 功 能 丰富 、 基 于 
版 本 的 HTTP API， 并 且 随 着 其 他 Docker 项 目的 开发 而 演化 。 


对 容器 的 操作 由 containerd 完 成 。containerd 由 Docker 公 司 开 发 ， 并 
贡献 给 了 CNCF。 它 可 以 被 看 作 是 负责 容 絮 生命 周期 相关 操作 的 容 妖 
管理 絮 。 它 小 巧 而 轻 量 ， 可 被 其 他 项 目 或 第 三 方 工 具 使 用 。 例 如 ， 它 
已 成 为 Kubernetes 中 默认 的 、 常 见 的 容器 运行 时 。 


containerd 需 要 指挥 与 OCI 兼 容 的 容器 运行 时 来 创建 容器 。 默 认 情 
况 下 ，Docker 使 用 runc 作 为 其 默认 的 容器 运行 时 。runc 已 经 是 OCI 容 需 
运行 时 规范 的 事实 上 的 实现 了 ， 它 使 用 与 OCI 兼 容 的 bundle 来 启动 容 
器 。containerd 调 用 runc， 并 确保 Docker 镜 像 以 OCI bundle 的 格式 交 给 
runc ° 


runc 可 MEKI ZAACLILE ROER o E TLibcontainer, +, 
可 被 其 他 项 目 或 第 三 方 工具 使 用 。 


仍然 有 许多 的 功能 是 在 Docker daemon 中 实现 的 。 其 中 的 多 数 功能 


可 能 会 随 着 时 间 的 推移 被 拆 解 挥 。 目 前 Docker daemon 中 依然 存在 的 功 
ae ` 镜像 管理 、 身 份 认证 、 安 全 特性 、 核 心 网 络 以 


Docker 引 擎 的 模块 化 工作 仍 在 进行 中 。 


6H ”Docker 镜 像 


在 本 草 中 会 深入 介绍 Docker 镜 像 的 相关 内 容 。 本 半 的 目标 古 能 帮 
助 读者 建立 Docker 镜 像 的 整体 认 知 ， 并 且 了 解 镜像 的 相关 基础 操作 。 
o eee ee 


按照 惯例 ， 本 章 市 分 为 如 下 3 个 部 分 。 
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接 下 来 开始 关于 镜像 的 学 习 吧 | 


6.1 Docker 镜 像 一 一 简介 


如 果 读 者 之 前 曾经 是 VM 管理 员 ， 则 可 以 把 Docker 镜 像 理解 为 VM 
模板 ，VM 模 板 就 像 停止 运行 的 VM， 而 Docker 镜 像 就 像 停止 运行 的 容 
a; 如 果 读 者 是 一 名 研发 人 员 ， 可 以 将 镜像 理解 为 类 (Class) ° 


读者 需要 先 从 镜像 仓库 服务 中 拉 取 镜像 。 和 单 见 的 镜像 仓库 服务 
Docker Hub， 但 是 也 存在 其 他 镜像 仓库 服务 。 SR ERG Fak 
到 本 地 Docker 主 机 ， 读 者 可 以 使 用 该 镜像 启动 一 个 或 者 多 个 容 絮 。 


镜像 由 多 个 层 组 成 ， 每 层 苔 加 之 后 ， 从 外 部 看 来 就 如 一 个 独立 的 
对 象 。 镜 像 内 部 是 一 个 精简 的 操作 系统 (OS) ， 同 时 还 包含 应 用 运行 
所 必须 的 文件 和 依赖 包 。 因 为 容器 的 设计 初 圳 就 是 快速 和 小 巧 ， 所 以 
镜像 通常 部 比较 小 。 


oo 读者 已 经 对 Docker 镜 像 有 了 大 致 了 解 ， 现 在 是 时 候 介 绍 更 


6.2 Docker 镜像 一 一 详解 


前 面 多 次 提 到 镜像 就 像 停止 运行 的 容器 (R) 。 实 际 上 ， 读 者 可 
以 停止 某 个 容器 的 运行 ， 并 从 中 创建 新 的 镜像 。 在 该 前 提 下 ， 镜 像 可 
以 理解 为 一 种 构建 时 (build-time) 结构 ， 而 容器 可 以 理解 为 一 种 运行 


时 (run-time) 结构 ， 如 图 6.1 所 示 。 


镜像 容器 


(构建 时 ) (运行 时 ) 
图 6.1 镜像 与 容器 


6.2.1 镜像 和 容器 


图 6.1 从 顶层 设计 层面 展示 了 镜像 和 容 絮 间 的 关系 。 通 常 使 用 
docker container run 和 docker service create MEME 
个 镜像 启动 一 个 或 多 个 容器 。 一 旦 容器 从 镜像 局 动 后 ， 二 者 之 则 就 变 
成 了 互相 依赖 的 关系 ， 并 且 在 镜像 上 局 动 的 容器 全 部 停止 之 前 ， 镜 像 
是 无 法 被 删除 的 。 尝 试 删 除 镜 像 而 不 停止 或 销毁 使 用 它 的 容器 ， 会 导 
致 下 面 的 错误 。 
$ docker image rm 


Error response from daemon: conflict: unable to remove repository 
reference \ 


"" (must force) - container is using its referenc\ 


ed image 


6.2.2 ”镜像 通常 比较 小 


vam HAMEST EARS , ORCS A te He RP 7 
含 应 用 /服务 运行 所 必需 的 操作 系统 和 应 用 文件 。 但 是 ， 容 人 右 义 退 求 快 
速 和 小 巧 ， 这 意味 着 构建 镜像 的 时 候 通 常 需要 裁剪 掉 不 必要 的 部 分 ， 
保持 较 小 的 体积 。 


例如 ，Docker 镜 像 通常 不 会 包含 6 个 不 同 的 Shell 让 读者 选择 一 一 通 
常 Docker 镜 像 中 只 -个 精简 的 Shell， 甚 至 没有 Shell。 镜像 中 还 不 包 
含 内 核 一 一 容器 都 是 共享 所 在 Docker 主 机 的 内 核 。 所 以 有 时 会 说 容器 
仅 包 含 必 要 的 操作 系统 (通常 只 有 操作 系统 文件 和 文件 系统 对 象 ) 。 


的 轻 量 级 VM 上 ， 同 时 利用 VM 内 部 的 操作 系统 内 核 。 


Hyper-V 容 器 运行 在 专 


Docker 官 方 镜像 Alpine Linux 大 约 只 有 4MB， 可 以 说 是 Docker 镜 像 
小 巧 这 一 特点 的 比较 典型 的 例子 。 这 可 不 是 写 错 了 1! 确实 只 有 大 约 
4MB! 但 是 ， 镜 像 更 常见 的 状态 是 如 Ubuntu 官方 的 Docker 镜 像 一 般 ， 
大 约 有 110MB。 这 些 镜像 中 都 已 裁剪 掉 大 部 分 的 无 用 内 容 。 


Windows 镜 像 要 比 Linux 镜 像 大 一 些 ， 这 与 Windows OS 工作 原理 相 
天 。 比 如 ， 未 压缩 的 最 新 Microsoft .NET 镜 像 
(microsoft/dotnet:latest ) 超过 1.7GB ° Windows Server 
2016 Nano Server 镜 像 (microsoft/nanoserver:latest ) 在 拉 


取 并 解压 后 ， 其 体积 略 大 于 1GB ° 


6.2.3” 拉 取 镜 像 


Docker 主 机 安装 之 后 ， 本 地 并 没有 镜像 。 


Linux Docker 主 机 本 地 镜像 仓库 通常 位 
于 /var/lib/docker/<storage-driver> , Windows Docker 主 机 
则 是 C:\ProgramData\docker\windowsfilter ° 


读者 可 以 使 用 以 下 命令 检查 Docker 主 机 的 本 地 仓库 中 是 否 包含 镜 


$ docker image ls 
REPOSITORY TAG IMAGE ID CREATED 


将 镜像 取 到 Docker 主 机 本 地 的 操作 是 拉 取 。 所 以 ， 如 果 读 者 想 在 
Docker 主 机 使 用 最 新 的 Ubuntu 镜像 ， 需 要 拉 取 它 。 通 过 下 面 的 命令 可 
以 将 镜像 拉 取 到 本 地 ， 并 观察 其 大 小 。 


J PPA BIZ 


如 果 读 者 参考 Linux 示 例 ， 并 且 还 没有 将 当前 Kit, Docker UNIX 组 


中 ， 则 需要 在 下 面 的 命令 前 面 添加 sudo 。 


Linux 示 例如 下 。 


$ docker image pull ubuntu:latest 


latest: Pulling from library/ubuntu 
b6f892c0043b: Pull complete 

55010f332b04: Pull complete 

2955fb827c94: Pull complete 

3deef3fcbd30: Pull complete 

cf9722e506aa: Pull complete 

Digest: sha256:38245....44463c62a9848133ecbiaa8 
Status: Downloaded newer image for 


ubuntu: latest 
$ docker image pull alpine:latest 
latest: Pulling from library/alpine cfc728c1c558: 
Pull complete 
Digest: sha256:c0537...497c0a7726c88e2bb7584dc96 


Status: Downloaded newer image for 


alpine: latest 


$ docker image ls 


REPOSITORY TAG IMAGE ID CREATED 
ubuntu latest ebcd9d4fca80 3 days ago 
alpine latest 02674b9cb179 8 days ago 


Windows 示 例如 下 。 


> docker image pull microsoft/powershell:nanoserver 


nanoserver: Pulling from microsoft/powershell 
bce2fbc256ea: Pull complete 

58f68faOceda: Pull complete 

04083aac0446: Pull complete 

e42e2e34b3c8: Pull complete 

Oc10d79c24d4: Pull complete 

715cb214dca4: Pull complete 

a4837c9c9af3: Pull complete 

2c79a32d92ed: Pull complete 

11a9edd5694f: Pull complete 

d223b37dbed9: Pull complete 

aee0b4393afb: Pull complete 

0288d4577536: Pull complete 

8055826c4f25: Pull complete 

Digest: sha256:090fe875. ..fdd9a8779592ea50c9d4524842 
Status: Downloaded newer image for microsoft/powershell:nanoserver 
> 

> docker image pull microsoft/dotnet:latest 


latest: Pulling from microsoft/dotnet 

bce2fbc256ea: Already exists 

4a8c367fd46d: Pull complete 

9f49060f1112: Pull complete 

0334ad7e5880: Pull complete 

ea8546db77c6: Pull complete 

710880d5cbd5: Pull complete 

d665d26d9a25: Pull complete 

caa8d44fb0b1: Pull complete 

cfd178ff221e: Pull complete 

Digest: sha256:530343cd483dc3e1. ..6f0378e24310bd67d2a 

Status: Downloaded newer image for microsoft/dotnet:latest 

> 

> docker image 1s 

REPOSITORY TAG IMAGE ID CREATED SIZE 
microsoft/dotnet latest 831..686d 7 hrs ago 1.65 GB 
microsoft/powershell nanoserver d06..5427 8 days ago 1.21 GB 


号 像 读 者 看 到 的 一 样 ， 刚 才 拉 取 的 镜像 已 经 存在 于 Docker 主机 本 
加 。 同 时 可 以 看 到 Windows 镜 像 要 远大 于 Linux 镜 像 ， 镜 像 中 分 
mee © 


6.2.4 ”镜像 命名 


在 上 面 的 每 条 命令 中 ， 都 需要 指定 所 拉 取 的 具体 镜像 。 所 以 本 书 
在 这 里 伦 几 分 钟 介绍 一 下 镜像 命名 。 在 此 之 前 ， 要 先 了 解 一 些 镜像 存 
储 相关 的 背景 知识 。 


6.2.5 ”镜像 仓库 服务 


Docker 镜 像 存储 在 镜像 仓库 服务 (Image Registry) 当中 。Docker 
客户 端的 镜像 仓库 服务 是 可 配置 的 ， 默 认 使 用 Docker Hub。 本 书 接 下 
来 的 内 容 中 也 是 采用 Docker Hub 。 


镜像 仓库 服务 包含 多 个 镜像 仓库 (Image Repository) ° 同样 ， 一 
个 镜像 仓库 中 可 以 包含 多 个 镜像 。 可 能 这 听 起 来 让 人 有 些 迷 惑 ， 所 以 
6.2 展 示 了 包含 3 个 镜像 仓库 的 镜像 仓库 服务 ， 其 中 每 个 镜像 仓库 都 
包含 一 个 或 多 个 镜像 。 


官方 和 非 官方 镜像 仓库 


Docker Hub 也 分 为 官方 仓库 (Official Repository) 和 非 官 方 仓库 
(Unofficial Repository) 。 


镜像 仓库 服务 


镜像 v1 


镜像 v2 


图 6.2 ”包含 3 个 镜像 仓库 的 镜像 仓库 服务 


顾名思义 ， 官 方 仓库 中 的 镜像 是 由 Docker 公 司 审查 的 。 这 意味 着 
其 中 的 镜像 会 及 时 更 新 ， 由 高 质量 的 代码 构成 ， 这 些 代码 是 安全 的 ， 
有 完善 的 文档 和 最 佳 实践 (请 原谅 本 书 连 续 使 用 了 5 个 形容 词 ) 。 


非 官 方 仓库 更 像 江 湖 侠 客 ， 其 中 的 镜像 不 一 定 具 备 官方 仓库 的 优 
点 ， 但 这 并 不 意味 着 所 有 非 官 方 仓 库 都 是 不 好 的 ! 非 官方 仓库 中 也 有 
一 些 很 优秀 的 镜像 。 读 者 需要 做 的 是 在 信任 非 官 方 仓 库 镜 像 代 码 之 前 
保持 训导。 说 实话 ， 读 者 在 使 用 任何 从 互联 网 上 下 载 的 软件 之 前 ， 痢 
要 小 心 ， 甚 至 是 使 用 那些 来 目 官方 仓库 的 镜像 时 也 应 如 此 。 


大 部 分 流行 的 操作 系统 和 应 用 在 Docker Hub 的 官方 仓库 中 都 有 其 
对 应 镜像 。 这 些 镜像 很 容易 找到 ， 基 本 都 在 Docker Hub 命 名 空间 的 顶 


= 


我 的 仓库 中 的 镜像 不 仅 未 审查 ， 也 未 及 时 更 新 ， 不 安全 且 不 包含 
完善 文档 ， 读 者 还 应 当 注 意 到 这 些 镜像 并 未 在 Docker Hub 命 名 空间 中 
poe 。 这 些 镜像 仓库 都 在 一 个 二 级 命名 空间 nigelpoultion 之 


读者 可 能 还 注意 到 了 本 书 中 使 用 的 Microsoft 镜 像 也 没有 在 Docker 
Hub 命 名 空间 之 中 。 在 本 书 编写 的 时 候 ， 这 些 镜像 都 在 microsoft 二 
级 空间 之 下 。 


基于 上 面 讨论 的 内 容 ， 本 书 接 下 来 解释 一 下 Docker 命 令 行 中 是 如 
何 定位 镜像 的 。 


6.2.6 ”镜像 命名 和 标签 


”只 需要 给 出 镜像 的 名 字 和 标签 ， 就 能 在 官方 仓库 中 定位 一 个 镜像 
(采用 “:” 分 隔 ) 。 从 官方 仓库 拉 取 镜像 时 ，docker image pull 
命令 的 格式 如 下 。 


docker image pull <repository>:<tag> 


在 之 前 的 Linux 示 例 中 ， 通 过 下 面 的 两 条 命令 完成 ALpine 和 
Ubuntu 镜像 的 拉 取 。 


docker image pull alpine:latest 
docker image pull ubuntu:latest 


这 两 条 命令 从 alpine 和 ubuntu 仓库 拉 取 了 标 有 ”atest" 标 签 的 镜像 。 


下 面 的 示例 展示 了 如 何 从 官方 仓库 拉 取 不 同 的 镜像 。 


$ docker image pull mongo:3.3.11 
// 该 命令 会 从 官方 Nongo 库 拉 取 标签 为 3.3 .11 的 镜像 


$ docker image pull redis:latest 
// 该 命令 会 从 官方 Redis 库 拉 取 标签 为 latest 的 镜像 


$ docker image pull alpine 
// 该 命令 会 从 官方 Alpine 库 拉 取 标签 为 latest 的 镜像 


关于 上 述 命令 ， 需 要 注意 以 下 儿 后 。 


首先 ， 如 果 没 有 在 仓库 名 称 后 指定 具体 的 镜像 标签 ， 则 Docker 会 
假设 用 户 和 希望 拉 取 标签 为 latest 的 镜像 。 


其 次 ， 标 签 为 latest 的 镜像 没有 什么 特殊 魔力 ! 标 有 latest 
标签 的 镜像 不 保证 这 是 仓库 中 最 新 的 镜像 ! GG, Alpine 仓库 中 最 
新 的 镜像 通常 标签 是 edge 。 通 常 来 讲 ， 使 用 Latest 标签 时 需要 谨 
慎 ! 


从 非 官方 仓库 拉 取 镜像 也 是 类 似 的， 读者 只 需要 在 仓库 名 称 面前 
加 上 Docker Hub 的 用 户 名 或 者 组 织 名称 。 下 面 的 示例 展示 了 如 何 从 
tu-demo 仓库 中 拉 取 v2 这 个 镜像 ， 其 中 镜像 的 拥有 者 是 Docker Hub 
账户 nigelpoulton ， 一 个 不 应 该 被 信任 的 账户 。 


$ docker image pull nigelpoulton/tu-demo:v2 
// 该 命令 会 从 以 我 自己 的 Docker Hub 账 号 为 命名 空间 的 tu-demo 库 中 下 载 标签 为 v2 的 镜 


像 


在 之 前 的 Windows 示 例 中 ， 使 用 下 面 的 两 条 命令 拉 取 了 PowerShell 
和 .NET 镜 像 。 


> docker image pull microsoft/powershell:nanoserver 


> docker image pull microsoft/dotnet:latest 


第 一 条 命令 从 microsoft/powershell 仓库 中 拉 取 了 标签 为 
nanoserver 的 镜像 ， 第 二 条 命令 从 microsoft/dotnet 仓库 中 拉 


取 了 标签 为 latest 的 镜像 。 


如 果 读 者 希望 从 第 三 方 镜像 仓库 服务 获取 镜像 〈 非 Docker 
Hub) ， 则 需要 在 镜像 仓库 名 称 前 加 上 第 三 方 镜像 仓库 服务 的 DNS 名 
称 。 假 设 上 面 的 示例 中 的 镜像 位 于 Google 容 器 镜像 仓库 服务 (GCR) 
中 ， 则 需要 在 仓库 名 称 前 面 加 上 gcr .io ， 如 docker pull 
gcr.io/nigelpoulton/tu-demo:v2 (这 个 仓库 和 镜像 并 不 存 
在 ) 。 


需要 拥有 第 三 方 镜像 仓库 服务 的 账户 ， 并 在 拉 取 镜像 前 


6.2.7 ”为 镜像 打 多 个 标签 


天 于 镜像 有 一 点 不 得 不 提 ， 一 个 镜像 可 以 根据 用 户 需 要 设置 多 个 
标签 。 这 二 因为 标签 是 存放 在 镜像 元 数据 中 的 任意 数字 或 字符 串 。 一 
起 来 看 下 面 的 示例 。 


在 docker image pull 命令 中 指定 -a 参数 来 拉 取 仓库 中 的 全 
部 镜像 。 接 下 来 可 以 通过 运行 docker image ls 查看 已 经 拉 取 的 镜 
像 。 如 果 读 者 使 用 Windows 示 例 ， 则 可 以 将 Linux 示 例 中 的 镜像 仓库 


nigelpoulton/tu-demo “fAmicrosoft/nanoserver ° 


如 果 拉 取 的 镜像 仓库 中 包含 用 于 多 个 平台 或 者 架构 的 镜像 ， 比 如 同时 包含 Linux 


和 Windows 的 镜像 ， 那么 命令 可 能 会 失败 。 


$ docker image pull -a nigelpoulton/tu-demo 


latest: Pulling from nigelpoulton/tu-demo 

237d5fcd25cf: Pull complete 

a3ed95caeb02: Pull complete 

<Snip> 

Digest: sha256:42e34e546cee61adb1. ..3a0c5b53f324a9e1c1aae451e9 
vi: Pulling from nigelpoulton/tu-demo 

237d5fcd25cf: Already exists 

a3ed95caeb02: Already exists 

<Snip> 

Digest: sha256:9cccOc67e5c5eaae4b. . .624c1d5c80f2c9623cbcc9b59a 
v2: Pulling from nigelpoulton/tu-demo 

237d5fcd25cf: Already exists 

a3ed95caeb02: Already exists 

<Snip> 

Digest: sha256:d3c0d8c9d5719d31b7...9fef58a7e038cfOef2ba5eb74c 
Status: Downloaded newer image for nigelpoulton/tu-demo 


$ docker image ls 

REPOSITORY TAG IMAGE ID CREATED 
nigelpoulton/tu-demo v2 6ac21e. .bead 1 yr ago 
MB 

nigelpoulton/tu-demo latest 9b915a..1e29 1 yr ago 
MB 

nigelpoulton/tu-demo vi 9b915a. .1e29 1 yr ago 
MB 


刚才 发 生 了 如 下 几 件 事情 


首先 ， 该 命令 从 nigelpoulton/tu-demo 仓库 拉 取 了 3 个 镜 
像 : ToN “v1 以 及 v2 ° 


其 次 ， 注 意 看 docker image ls 命令 输出 中 的 IMAGE ID 这 一 
列 。 ,读者 会 发 现 只 有 两 个 不 同 的 Image ID。 这 是 因为 实际 只 下 载 了 两 
个 镜像 ， 其 中 有 两 个 标签 指向 了 相同 的 镜像 。 换 名 话说， 其 中 一 个 镜 
像 拥 有 两 个 标签 。 如 果 读 者 仔细 观察 会 发 现 v1L 和 1atest 标签 指向 了 
相同 的 IMAGE ID ， 这 意味 着 这 两 个 标签 属于 相同 的 镜像 。 


这 个 示例 也 完美 证 明了 前 文中 关于 Latest 标签 使 用 的 警告 。 在 
AGI, latest WHN vi 标签 的 镜像 。 这 意味 着 ljatest 实际 


指 问 了 两 个 镜像 中 较 早 的 那个 版 本 ， 而 不 是 最 新 的 版 本 ! latest 是 
一 个 非 强 制 标签 ， 不 保证 指向 仓库 中 最 新 的 镜像 ! 


6.2.8 过滤 docker image ls 的 输出 内 容 
Docker 提 供 - -filter 参数 来 过 小 docker image ls 命令 返回 


的 镜像 列表 内 容 。 
ERARA RESE (dangling) 镜像 。 


$ docker image ls --filter dangling=true 
REPOSITORY TAG IMAGE ID CREATED SIZE 
<none> <none> 4fd34165afeod 7 days ago 14.5MB 


HS LEV NEA RR BO A vee i a AR, TEPIZE FARA <none>: 
<none> 。 通 常 出 现 这 种 情况 ， 是 因为 构建 了 一 个 新 镜像 ， 然 后 为 该 
镜像 打 了 一 个 已 经 存在 的 标签 。 当 此 情况 出 现 ，Docker 会 构建 新 的 镜 
像 ， 然 后 发 现 已 经 有 镜像 包含 相同 的 标签 ， 接 着 Docker 会 移 除 旧 镜像 
上 面 的 标签 ， 将 该 标签 标 在 新 的 镜像 之 上 。 例 如 ， 首 先 基于 
alpine:3.4 构建 一 个 新 的 镜像 ， 并 打上 dodge:challenger 标 
签 。 然 后 更 新 Dockerfile， 将 alpine:3.4 替换 为 alpine:3.5 ， 并 
且 再 次 执行 docker image build 命令 。 该 命令 会 构建 一 个 新 的 镜 
像 ， 并 且 标 签 为 dodge: challenger ， 同 时 移 除 了 旧 镜 像 上 面 对 应 
的 标签 ， 旧 镜像 束 变 成 了 悬 虚 镜像 。 


可 以 通过 docker image prune 命令 移 除 全 部 的 悬 虚 镜像 。 如 
果 添 加 了 -a 参数 ，Docker 会 额外 移 除 没有 被 使 用 的 镜像 (那些 没有 被 
任何 容器 使 用 的 镜像 ) 


Docker 目 前 支持 如 下 的 过 滤器 。 


e dangling: 可 以 指定 true 或 者 false , MURAI 
(true) ， 或 者 非 巧 虚 镜 像 (false) ° 
e before: 需要 镜像 名 称 或 者 ID 作为 参数 ， 返 回 在 之 前 被 创建 的 


全 部 镜像 。 


e since: 与 before 类 似 ， 不 过 返回 的 是 指定 镜像 之 后 创建 的 全 
部 镜像 。 

e label: 根据 标注 (label) 的 名 称 或 者 值 ， 对 镜像 进行 过 滤 。 
docker image ls 命令 输出 中 不 显示 标注 内 容 。 


其 他 的 过 小 方式 可 以 使 用 reference 。 


下 面 就 是 使 用 reference 完成 过 滤 并 且 仅 显示 标签 为 latest 的 
示例 。 


$ docker image ls --filter=reference="*:latest" 
REPOSITORY TAG IMAGE ID CREATED SIZE 
alpine latest 3fd9065eaf02 8 days ago 4.15MB 


test latest 8426e7efb777 3 days ago 122MB 


读者 也 可 以 使 用 - -format 参数 来 通过 Go 模板 对 输出 由 窑 进 行 格 
式 化 。 例 如 ， 下 面 的 指令 将 只 返回 Docker 主 机 上 镜像 的 大 小 属性 


$ docker image ls --format "{{.Size}}" 


使 用 下 面 命令 返回 全 部 镜像 ， 但 是 只 显示 人 仓库、 标签 和 大 小 信 


cI 


$ docker image ls --format "{{.Repository}}: {{.Tag}}: {{.Size}}" 
dodge: challenger: 99.3MB 

ubuntu: latest: 111MB 

python: 3.4-alpine: 82.6MB 


python: 3.5-alpine: 88.8MB 
alpine: latest: 4.15MB 
nginx: latest: 108MB 


如 果 读 者 需要 更 复杂 的 过 滤 ， 可 以 使 用 OS 或 者 Shell 目 市 的 工具 ， 
比如 Grep 或 者 AWK 。 


6.2.9 ”通过 CLI 方 式 搜 索 Docker Hub 


docker search 命令 允许 通过 CLI 的 方式 搜索 Docker Hub。 读 
者 可 以 通过 “NAME ”字段 的 内 容 进行 匹配 ， 并 且 基 于 返回 内 容 中 任意 
列 的 值 进 行 过 滤 。 


简单 模式 下 ， 该 命令 会 搜索 所 有 “NAME”? 字 段 中 包含 特定 字符 串 
的 仓库 。 例 如 ， 下 面 的 命令 会 得 找 所 有 "NAME? 包 合 nigelpoulton” 的 
EE ° 


$ docker search nigelpoulton 

NAME DESCRIPTION 
AUTOMATED 

nigelpoulton/pluralsight.. Web app used in... 
[OK] 


nigelpoulton/tu-demo 

nigelpoulton/k8sbook Kubernetes Book web app 
nigelpoulton/web- fet Web front end example 
nigelpoulton/hello-cloud Quick hello-world image 


“NAME” 字 段 是 仓库 名 称 ， 包 仿 了 Docker ID， 或 者 非 官方 仓库 的 
oo 。 例 如， 下面 的 命令 会 列 出 所 有 仓库 名 称 中 包含 alpine” 的 镜 


$ docker search alpine 

NAME DESCRIPTION STARS OFFICIAL 
AUTOMATED 

alpine A minimal Docker.. 2988 [OK] 
mhart/alpine-node Minimal Node.js.. 332 


anapsix/alpine-java Oracle Java 8... 270 
[OK] 
<Snip> 


需要 注意 ， 上 面 返 回 的 镜像 中 既 有 官方 的 也 有 非 官 方 的 。 读 者 可 
以 使 用 - -filter "is-official=true" ， 使 命令 返回 内 容 只 显示 
官方 镜像 。 


$ docker search alpine --filter "is-official=true" 
NAME DESCRIPTION STARS OFFICIAL 


AUTOMATED 
alpine A minimal Docker.. 2988 [OK] 


重复 前 面 的 操作 ， 但 这 次 只 显示 目 动 创建 的 仓库 。 


$ docker search alpine --filter "is-automated=true" 

NAME DESCRIPTION OFFICIAL 
AUTOMATED 

anapsix/alpine-java Oracle Java 8 (and 7).. 


[OK] 

frolvlad/alpine-glibc Alpine Docker image.. 
[OK] 

kiasaki/alpine-postgres PostgreSQL docker.. 
[OK] 

zzrot/alpine-caddy Caddy Server Docker.. 
[OK] 

<Snip> 


关于 docker search 需要 注意 的 最 后 一 点 是 ， 默 认 情 况 下 ， 
Docker 只 返回 25 行 结果 。 但 是 ， 读 者 可 以 指定 - -Limit 参数 来 增加 返 
回 内 容 行 数 ， 最 多 为 100 行 。 


6.2.10 ”镜像 和 分 层 


Docker 镜 像 由 一 些 松 糊 合 的 只 读 镜像 层 组 成 。 如 图 6.3 所 示 。 


图 6.3 ”Docker 镜 像 


m Docker 负 责 堆 县 这 些 镜 像 层 ， 并 且 将 它们 表示 为 单个 统一 的 对 


有 多 种 方式 可 以 查看 和 检查 构成 某 个 镜像 的 分 层 ， 本 书 在 表面 已 
经 展示 了 其 中 一 种 。 接 下 来 再 回顾 一 下 docker image pull 
ubuntu: latest 命令 的 输出 内 容 。 


$ docker image pull ubuntu:latest 
latest: Pulling from library/ubuntu 
952132ac251a: Pull complete 
82659f8f1b76: Pull complete 
c19118ca682d: Pull complete 
8296858250fe: Pull complete 


24e0251a0e2c: Pull complete 


Digest: sha256:f4691c96e6bbaag99d. . .28ae95a60369c506dd6e6f6ab 
Status: Downloaded newer image for 


ubuntu: latest 


在 上 面 输出 内 容 中 ， 以 Pull1 complete 结尾 的 每 一 行 都 代表 了 
镜像 中 某 个 被 拉 取 的 镜像 层 。 可 以 看 到 ， 这 个 镜像 包含 5 个 镜像 层 。 
6.4 以 图 片 形 式 将 镜像 层 ID 作 为 标识 展示 了 这 些 分 层 。 


图 6.4 ”镜像 层 


另 一 种 查看 镜像 分 层 的 方式 是 通过 docker image inspect 命 


令 。 下 面 同样 以 ubuntu:latest 镜像 为 例 。 


$ docker image inspect ubuntu:latest 


[ 
"Tq" : 
"sha256: bd3d4369ae fa2645f5699037d7d8c6b415a10", 
"RepoTags": 
"ubuntu: latest" 
<Snip> 
"RootFS": { 
"Type": "layers", 
"Layers": [ 
"sha256:c8a75145fc...894129005e461a43875a094b93412", 
"sha256: c6f2b330b6...7214ed6aac305dd03f70b95cdc610", 


"sha256:055757a193. . .3a9565d78962c7f368d5ac5984998", 


"sha256: 4837348061. ..12695f548406ea77fFeb5074e195e3", 
"sha256:0cad5e07ba...4bae4cfc66b376265e16c32a0aaeQ9" 


缩减 之 后 的 输出 也 显示 该 镜像 包含 5 个 镜像 层 。 只 不 过 这 次 的 输出 
内 容 中 使 用 了 镜像 的 SHA256 散 列 值 来 标识 镜像 层 。 不 过 ， 两 中 命令 都 
显示 了 镜像 包含 5 个 镜像 层 。 


docker history 命令 显示 了 镜像 的 构建 历史 记录 ， 但 其 并 不 是 严格 意义 上 
的 镜像 分 层 。 例 如 ， 有 些 Dockerfile 中 的 指令 并 不 会 创建 新 的 镜像 层 。 比 如 ENV、 
EXPOSE、CMD 以 及 ENTRY- POINT。 不 过 ， 这 些 命令 会 在 镜像 中 添加 元 数据 。 


所 有 的 Docker 镜 像 都 起 始 于 一 个 基础 镜像 层 ， 当 进行 修改 或 增加 
新 的 内 容 时 ， 驳 会 在 当前 镜像 层 之 上 ， 创 建新 的 镜像 讨 。 


举 一 个 简单 的 例子 ， 假 如 基于 Ubuntu Linux 16.04 创 建 一 个 新 的 镑 
像 ， 这 就 是 新 镜像 的 第 一 层 ， 如 果 在 该 镜像 中 添加 Python 包 ， 台 会 在 
基础 镜像 层 之 上 创建 第 二 个 镜像 层 ;， 如 果 继 续 添 加 一 个 安全 补丁 ， 束 


会 创建 第 三 个 镜像 层 。 该 镜像 当前 已 经 包含 3 个 镜像 层 ， 如 图 6.5 所 示 
(这 只 是 一 个 用 于 演示 的 很 简单 的 例子 ) 。 


第 3 层 一 | 
第 2 层 一 一 | 


第 1 层 — | 


图 6.5 ”基于 Ubuntu Linux 16.04 创 建 镜像 


在 诛 加 额外 的 镜像 层 的 同时 ， 狗 像 始 终 你 持 征 当前 所 有 狗 像 的 组 
， 理 解 这 一 点 非常 重要 。 图 6.6 中 举 了 一 个 简单 的 例子 ， 每 个 镜像 层 
ae 含 3 个 文件 ， 而 镜像 包含 了 来 目 两 个 镜像 层 的 6 个 文件 。 


A 


| | 
一 / 
oo 
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图 6.6 添加 额外 的 镜像 层 后 的 镜像 


图 6.6 中 的 镜像 层 跟 之 前 图 中 的 略 有 区 别 ， 主 要 目的 是 便于 展示 文件 。 


All, 


图 6.7 中 展示 了 一 个 稍微 复杂 的 三 层 镜像 ， 在 外 部 看 来 整个 镜像 只 
有 6 个 文件 ， 这 是 因为 最 上 层 中 的 文件 7 是 文件 5 的 一 个 更 新 版 本 。 这 种 


IROL, Caina PRC i JRA PIE o ER HE 
得 文件 的 更 新 版 本 作为 一 个 新 镜像 层 添 加 到 镜像 当中 。 


图 6.7 三 层 镜像 


Docker 通 过 存储 引擎 (新 版 本 采用 快照 机 制 ， 的 方式 来 实现 镜像 
层 堆栈 ， 并 保证 多 镜像 层 对 外 展示 为 统一 的 文件 系统 。Linux 上 可 用 的 
存储 引 警 有 AUFS > Overlay2 `Device Mapper 、Btrfs 以 及 
ZFS 。 顾 名 思 义 ， 每 种 存储 引擎 都 基于 Linux 中 对 应 的 文件 系统 或 者 块 
设备 技术 ， 并 旦 每 种 存储 引擎 都 有 其 独 有 的 性 能 特点 。Docker 在 
Windows 上 仅 文 持 windowsfilter 一 种 存储 引擎 ， 该 引擎 基于 NTFS 
文件 系统 之 上 实现 了 分 层 和 CoW H 。 


图 6.8 展 示 了 与 系统 显示 相同 的 三 层 镜 像 。 所 有 镜像 层 堆 释 并 合 
并 ， 对 外 提供 统一 的 视图 。 


sr — ERIE] 
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图 6.8 ”从 系统 角度 看 三 层 镜 像 


6.2.11 ”共享 镜像 层 


多 个 辜 像 之 同 可 以 并 且 确 实 共 至 镜像 层 。 这 样 可 以 有 效 市 省 空 
间 并 提升 性 能 


请 再 回顾 一 下 之 前 用 于 拉 取 nigelpoulton/tu-demo CEFE 
部 包含 标签 的 docker image pull 命令 (包含 -a 参数 ) 。 


$ docker image pull -a nigelpoulton/tu-demo 


latest: Pulling from nigelpoulton/tu-demo 

237d5fcd25cf: Pull complete 

a3ed95caeb02: Pull complete 

<Snip> 

Digest: sha256:42e34e546cee61adb100. . .aOc5b53f324a9e1ciaae451e9 


vi: Pulling from nigelpoulton/tu-demo 

237d5fcd25cf: Already exists 

a3ed95caeb02: Already exists 

<Snip> 

Digest: sha256:9cccOc67e5cS5eaae4beb.. .24c1d5c80fF2c9623cbcc9b59a 


v2: Pulling from nigelpoulton/tu-demo 

237d5fcd25cf: Already exists 

a3ed95caeb02: Already exists 

<Snip> 

eab5aaac65de: Pull complete 

Digest: sha256:d3c0d8c9d5719d31b79c...fef58a7e038cf0ef2ba5eb74c 


Status: Downloaded newer image for nigelpoulton/tu-demo 


$ docker image ls 

REPOSITORY TAG IMAGE ID CREATED 
nigelpoulton/tu-demo v2 6ac...ead 4 months ago 
MB 

nigelpoulton/tu-demo latest 9b9...e29 4 months ago 
MB 

nigelpoulton/tu-demo v1 9b9...e29 4 months ago 
MB 


注意 那些 以 ALready exists 结尾 的 行 。 


由 这 几 行 可 见 ，Docker 很 聪明 ， 可 以 识别 出 要 拉 取 的 镜像 中 ， 哪 
几 层 已 经 在 本 地 存在 。 在 本 例 中 ，Docker 首 先 尝试 拉 取 标 签 为 
latest 的 镜像 。 然 后 ， 当 拉 取 标签 为 v1 和 v2 的 镜像 时 ，Docker 注 
意 到 组 成 这 两 个 镜像 的 镜像 层 ， 有 一 部 分 已 经 存在 了 。 出 现 这 种 情况 
的 原因 是 前 面 3 个 镜像 相似 度 很 高 ， 所 以 共享 了 很 多 镜像 层 。 


如 前 所 述 ，Docker 在 Linux 上 文 持 很 多 存储 引擎 (Snapshotter) ° 
每 个 存储 引擎 都 有 自己 的 镜像 分 层 、 镜 像 层 共享 以 及 写 时 复制 
(CoW) 技术 的 具体 实现 。 但 是 ， 其 最 终 效 果 和 用 户 体验 是 完全 一 致 
o oe ae 还 是 可 以 提供 与 Linux 相 同 的 
功能 体验 。 


6.2.12 ”根据 摘要 拉 取 镜像 


到 目前 为 止 ， 本 书 向 读者 介绍 了 如 何 通 过 标签 来 打 取 镜像 ， 这 也 
征 间 见 的 方式 。 但 问题 是 ， 标 等 是 可 变 的 ! 这 意味 着 可 能 偶尔 出 现 给 
镜像 打 错 标签 的 情况 ， 有 时 甚至 会 给 新 镜像 打 一 个 已 经 存在 的 标签 。 
这 些 都 可 能 导致 问题 ! 


假设 镜像 golftrack:1.5 存在 一 个 已 知 的 Bug。 因 此 可 以 拉 取 
该 镜像 后 修复 它 ， 并 使 用 相同 的 标签 将 更 新 的 镜像 重新 推送 回 仓库 。 


一 起 来 思考 下 刚才 发 生 了 什么 。 镜像 golftrack:1.5 存在 
Bug， 这 个 镜像 已 经 应 用 于 生产 环境 。 如 果 创 建 一 个 新 版 本 的 镜像 ， 
并 修复 了 这 个 Bug。 那 么 问题 来 了 ， 构 建新 镜像 并 将 其 推送 回 仓库 时 
使 用 了 与 问题 镜像 相同 的 标签 ! 原 镜 像 被 履 盖 ， 但 在 生产 环境 中 遗留 
了 大 量 运 行 中 的 容 右 ， 没 有 什么 好 办 法 区 分 正在 使 用 的 镜像 版 本 是 修 
复 前 还 是 修复 后 的 ， 因 为 两 个 镜像 的 标签 是 相同 的 ! 


是 时 候 轮 到 镜像 摘要 (Image Digest) HHT ° 


Docker 1.10 中 引入 了 新 的 内 容 寻 址 存储 模型 。 作 为 模型 的 一 部 
分 ， 每 一 个 镜像 现在 都 有 一 个 基于 其 内 容 的 密码 散 列 值 。 为 了 讨论 方 
便 ， 本 书 用 摘要 代 指 这 个 散 列 值 。 因 为 摘要 是 镜像 内 容 的 一 个 散 列 
值 ， 所 以 镜像 内 容 的 变更 一 定 会 导致 散 列 值 的 改变 。 这 意味 着 摘要 是 
不 可 变 的 。 这 种 方式 可 以 解决 前 面 讨论 的 问题 。 


每 次 拉 取 镜像 ， 摘 要 都 会 作为 docker image pull 命令 返回 代 
码 的 一 部 分 。 只 需要 在 docker image ls 令 之 后 添加 - - 
参数 即 可 在 本 地 查看 镜像 摘要 。 接 下 来 的 示例 中 也 会 进行 相 
关 演示 。 


$ docker image pull alpine 

Using default tag: latest 

latest: Pulling from library/alpine 

e110a4a17941: Pull complete 

Digest: sha256:3dcdb92d7432d56604d. . .6d99b889d0626de158f73a 
Status: Downloaded newer image for alpine:latest 


$ docker image ls --digests alpine 
REPOSITORY TAG DIGEST IMAGE ID CREATED 


latest sha256:3dcd...f73a 4e38e38c8ce0 10 weeks ago 


从 上 面 的 代码 片段 中 可 知 ，Alpine 镜 像 的 签名 值 如 下 。 


sha256: 3dcdb92d7432d56604d... 
6d99b889d0626de158Ff 73a ° 


现在 已 知 镜像 的 摘要 ， 那 么 可 以 使 用 摘要 值 再 次 拉 取 这 个 镜像 。 
这 种 方式 可 以 确保 准确 拉 取 想 要 的 镜像 。 


在 撰写 本 书 时 ， 已 经 没有 原生 Docker 命 令 SCP Ga in 5 EA 
务 (如 Docker Hub) 中 获取 镜像 签名 了 。 这 意味 着 只 能 先 通过 标签 方 
式 拉 取 镜像 到 本 地 ， 然 后 目 己 维护 镜像 的 摘要 列表 。 镜像 摘要 在 未 来 
绝对 不 会 发 生变 化 。 


pee aera eae latest 镜像 ， 然 
后 显示 如 何 通 过 摘要 (而 不 是 标签 ) 来 再 次 拉 取 该 镜像 。 


$ docker image rm alpine:latest 

Untagged: alpine:latest 

Untagged: alpine@sha256:c0537...7c0a7726c88e2bb7584dc96 
Deleted: sha256:02674b9cb179d...abffOc2bf5ceca5bad72cd9 
Deleted: sha256:e154057080f40.. .3823bab1be5b86926c6f 860 


$ docker image pull alpine@sha256:c0537...7c0a7726C88e2bb7584dc96 
sha256:c0537...7726c88e2bb7584dc96: Pulling from library/alpine 


cfc728c1c558: Pull complete 

Digest: sha256:c0537ff6a5218. ..7c0a7726c88e2bb7584dc96 
Status: Downloaded newer image for 
alpine@sha256:c0537...bb7584dc96 


6.2.13 ”镜像 散 列 值 (摘要 ) 


nm 从 Docker 1.10 版 本 开始 ， 镜 像 束 古 一 系列 松 厢 合 的 独立 层 的 集 


= 


PAS Size — PACER, HPS T RARER EE 
元 数据 信息 。 


镜像 层 才 是 实际 数据 存储 的 地 方 《比如 文件 等 ， 镜 像 层 之 间 是 完 
全 独立 的 ， 并 没有 从 属于 某 个 镜像 集合 的 概念 ) ° 


镜像 的 唯一 标识 是 一 个 加 密 ID， 即 配置 对 象 本 身 的 散 列 值 。 每 个 
镜像 层 也 由 一 个 加 密 ID 区 分 ， 其 值 为 镜像 层 本 喘 内 容 的 散 列 值 。 


这 意味 着 修改 镜像 的 内 容 或 其 中 任意 的 镜像 层 ， 都 会 导致 加 密 散 
列 值 的 变化 。 所 以 ， 镜 像 和 其 镜像 层 都 是 不 可 变 的 ， 任 何 改动 都 能 很 
轻松 地 被 辨别 。 

这 就 是 所 谓 的 内 容 散 列 (Content Hash) 

到 目前 为 止 ， 事情 都 很 们 单 。 但 是 接 下 来 的 内 容 束 有 点 儿 复 杂 


在 推送 和 拉 取 镜像 的 时 候 ， 都 会 对 镜像 层 进行 压缩 来 节省 网 络 带 
宽 以 及 仓库 二 进 制 存储 空间 。 

但 是 压缩 会 改变 镜像 内 容 ， 这 意味 着 镜像 的 内 容 散 列 值 在 推送 或 
者 拉 取 操作 之 后 ， 会 与 镜像 内 容 不 相符 ! 这 显然 是 个 问题 。 


例如 ， 在 推送 镜像 层 到 Docker Hub 的 时 候 ，Docker Hub 会 党 试 确 
认 接 收 到 的 镜像 没有 在 传输 过 程 中 被 算 改 。 为 了 完成 校 验 ，Docker 
Hub 会 根据 镜像 层 重 新 计算 散 列 值 ， 并 与 原 散 列 值 进行 比较 。 因 为 镜 


ee (发 生 了 改变 ) ， 所 以 散 列 值 的 校 验 也 会 失 
由 o 


为 避免 该 问题 ， 每 个 镜像 层 同 时 会 包含 一 个 分 发 散 列 值 
(Distribution Hash) 。 这 是 一 个 压缩 版 镜像 的 散 列 值 ， 当 从 镜像 仓库 
服务 拉 取 或 者 推送 镜像 的 时 候 ， 其 中 束 包 含 了 分 发 散 列 值 ， 该 散 列 值 
会 用 于 校 验 拉 取 的 镜像 是 否 彼 算 改 过 。 


这 个 内 容 寻 址 存储 模型 极 大 地 提升 了 镜像 的 安全 性 ， 因 为 在 拉 取 
和 推送 操作 后 提供 了 一 种 方式 来 确保 镜像 和 镜像 层 数据 是 一 致 的 。 该 
异型 也 解决 了 随机 生成 镜 像 和 镜像 层 ID 这 种 万 式 可 能 导致 的 ID 冲突 问 


题 


6.2.14 ”多 层 架 构 的 镜像 


Docker 最 值得 称赞 的 一 点 束 是 使 用 方便 。 例 如 ， 运 行 一 个 应 用 束 
像 拉 取 镜 像 并 运行 容器 这 么 简单 。 无 须 担 心安 疙 、 依 赖 或 者 配置 的 问 
题 。 开 箱 即 用 。 


但 是 ， 随 着 Docker 的 发 展 ， 事 情 开 始 变 得 复杂 尤其 是 在 添加 
了 新 平台 和 架构 之 后 ， 例 如 Windows、ARM 以 及 s390x。 读 者 会 突然 发 
现 ， 在 拉 取 镜像 并 运行 之 前 ， 需 要 考虑 镜像 是 否 与 当前 运行 环境 的 架 
构 匹 配 ， 这 破坏 了 Docker 的 流畅 体验 。 


多 架构 镜像 (Multi-architecture Image) 的 出 现 解 决 了 这 个 问题 ! 


Docker (镜像 和 镜像 仓库 服务 ) 规范 目前 文 持 多 架构 镜像 。 这 意 
味 着 某 个 镜像 仓库 标签 (repository:tag) 下 的 镜像 可 以 同时 支持 64 位 
Linux ` PowerPC Linux、64 位 Windows 和 ARM 等 多 种 架构 。 人 简单 地 
说 ， 就 是 一 个 镜像 标签 之 下 可 以 支持 多 个 平台 和 架构 。 下 面 通过 实 操 
演示 该 特性 。 


为 了 实现 这 个 特性 ， 镜 像 仓 库 服 务 API 支 持 两 种 重要 的 结构 : 
Manifest 列 表 (新 ) 和 Manifest ° 


Manifest? | Zee Tae re BOD Se SCI FRI TI Feo ESCA EE AP 
以 构 ， 都 有 目 己 的 Mainfest 定 义 ， 其 中 列举 了 该 镜像 的 构成 。 


图 6.9 使 用 Golang 官方 镜像 作为 示例 。 图 左 侧 是 Manifest 列 表 ， 
其 中 包含 了 该 镜像 支持 的 每 种 架构 。Manifest 列 表 的 每 一 项 都 有 一 个 
箭头 ， 指 问 具 体 的 Manifest， 其 中 包 售 了 镜像 配置 和 镜像 层 数据 。 


Config (OCT) 


amd64/ linux 
arm64/linux 
s390x/linux 


amd64/windows Config (OCI) 


图 6.9 Golang 官方 镜像 


在 具体 操作 之 前 ， 先 来 了 解 一 下 原理 。 


假设 要 在 Raspberry Pi (基于 ARM 架 构 的 Linux) 上 运行 Docker。 
在 拉 取 镜像 的 时 候 ，Docker 客 户 端 会 调用 Docker Hub 镜 像 仓 库 服务 相 
应 的 API 完 成 拉 取 。 如 果 该 镜像 有 Mainfest 列 表 ， 并 且 存 在 Linux on 
ARM 这 一 项 ， 则 Docker Client 就 会 找到 ARM 架 构 对 应 的 Mainfest 并 解 
析出 组 成 该 镜像 的 镜像 层 加 密 ID。 然 后 从 Docker Hub 二 进 制 存储 中 拉 
取 每 个 镜像 层 。 


下 面 的 示例 就 展示 了 多 架构 镜像 是 如 何在 拉 取 官方 Golang 镜 像 
(支持 多 架构 ) 时 工作 的 ， 并 且 通 过 一 个 简单 的 命令 展示 了 Go 的 版 本 
和 所 在 主机 的 CPU 架构 。 需 要 注意 的 是 ， 两 个 例子 都 使 用 相同 的 命令 
docker container run。 不 需要 告知 Docker 有 具体 的 镜像 版 本 是 64 
位 Linux 还 是 64 位 Windows。 示 例 中 只 运行 了 普通 的 命令 ， 选 择 当 前 平 
台 和 架构 所 需 的 正确 镜像 版 本 是 有 由 Docker 完 成 的 。 


64 位 Linux 示 例如 下 。 


$ docker container run --rm golang go version 


Unable to find image 'golang:latest' locally 
latest: Pulling from library/golang 
723254a2c089: Pull complete 

<Snip> 

39cd5f38ffb8: Pull complete 

Digest: sha256:947826b5b6bc4... 

Status: Downloaded newer image for golang:latest 
go version go1.9.2 linux/amd64 


64 位 Windows 示 例如 下 。 


PS> docker container run --rm golang go version 


Using default tag: latest 

latest: Pulling from library/golang 
3889bb8d808b: Pull complete 

8df8e568af76: Pull complete 

9604659e3e8d: Pull complete 

9f4a4a55f0a7: Pull complete 

6d6da81fc3fd: Pull complete 

72f53bd57f2f: Pull complete 

6464e79d41fe: Pull complete 

dca61726a3b4: Pull complete 

9150276e2b90: Pull complete 

cd47365a14fb: Pull complete 

1783777af4bb: Pull complete 

3b8d1834f1d7: Pull complete 

7258d77b22dd: Pull complete 

Digest: sha256:e2be086d86eeb789. ..e1b2195d6f40edc4 
Status: Downloaded newer image for golang:latest 
go version go1.9.2 windows/amd64 


前 面 的 操作 包括 从 Docker Hub 拉 取 Golang 镜像 ， 以 容 絮 方式 启 
动 ， 执 行 go version 命令 ， 并 且 输 出 Go 的 版 本 和 主机 OS / CPU 架构 
信息 。 每 个 示例 的 最 后 一 行 都 展示 了 go version 命令 的 输出 内 容 。 
可 以 看 到 两 个 示例 使 用 了 完全 相同 的 命令 ， 但 是 Linux 示 例 中 拉 取 的 是 
linux/amd64 镜像 ， 而 Windows 示 例 中 拉 取 的 是 windows/amd64 
镜像 。 


在 编写 本 书 的 时 候 ， 所 有 官方 镜像 都 文 持 Manifest 列 表 。 但 是， 
全 面 文 持 各 种 织 构 的 工作 仍 在 推进 当中 。 


BESS FF SRS YBa RR m BR AC A E&Y VE o FET, 
某 些 软件 也 并 非 跨 平 台 的 。 在 这 个 前 提 下 ，Manifest 列 表 是 可 选 的 
在 没有 Manifest 列 表 的 情况 下 ， 镜 像 仓 库 服务 会 返回 普通 的 


Manifest 。 


6.2.15 “删除 镜像 


当 读者 不 再 需要 某 个 镜像 的 时 候 ， 可 以 通过 docker image rm 
命令 从 Docker 主 机 删除 该 镜像 。 其 中 ，rm 是 remove 的 缩写 。 


删除 操作 会 在 当前 主机 上 删除 该 镜像 以 及 相关 的 镜像 层 。 这 意味 
着 无 法 通过 docker image ls 命令 看 到 删除 后 的 镜像 ， 并 且 对 应 的 
包含 镜像 层 数据 的 目录 会 被 删除 。 但 是 ， 如 果 某 个 镜像 层 被 多 个 镜像 
那 只 有 当 全 部 依赖 该 镜像 层 的 镜像 都 被 删除 后 ， 该 镜像 层 才 会 
被 删除 。 


下 面 的 示例 中 通过 镜像 ID 来 删除 镜像 ， 可 能 跟 读者 机 器 上 镜像 ID 
有 所 不 同 。 


$ docker image rm 02674b9cb179 
Untagged: alpine@sha256:c0537ff6a5218...c0a7726c88e2bb7584dc96 


Deleted: sha256:02674b9cb179d57...31iba0abffOc2bf5ceca5bad72cd9 
Deleted: sha256:e154057080f4063...2a0d13823babibe5b86926c6fF860 


QUARTER AT BRE EIST RAS ae, BBA BR ER TER eK 
允许。 再 次 执行 删除 镜像 命令 之 前 ， 需 要 停止 并 删除 该 镜像 相关 的 全 


一 种 删除 某 Docker 主 机 上 全 部 镜像 的 快捷 方式 是 在 docker 
image rm 命令 中 传 入 当前 系统 的 全 部 镜像 ID， 可 以 通过 docker 
u ls 获取 全 部 镜像 ID (使 用 -q 参数 ) 。 该 操作 在 下 面 会 进行 
演示 。 


如 果 是 在 Windows 环 境 中 ， 那 么 只 有 在 PowerShell 终 端 中 执行 才 会 
生效 。 在 CMD 中 执行 并 不 会 生效 。 


$ docker image rm $(docker image ls -q) -f 


为 了 理解 具体 工作 原理 ， 首 先 下 载 一 组 镜像 ， 然 后 通过 运行 


docker image ls -q ° 


$ docker image pull alpine 

Using default tag: latest 

latest: Pulling from library/alpine 

e110a4a17941: Pull complete 

Digest: sha256:3dcdb92d7432d5...3626d99b889d0626de158f73a 
Status: Downloaded newer image for 


alpine: latest 


$ docker image pull ubuntu 

Using default tag: latest 

latest: Pulling from library/ubuntu 

952132ac251a: Pull complete 

82659f8f1b76: Pull complete 

c19118ca682d: Pull complete 

8296858250fe: Pull complete 

24e0251a0e2c: Pull complete 

Digest: sha256:f4691c96e6bba. . .128ae95a60369c506dd6e6f6ab 
Status: Downloaded newer image for ubuntu:latest 


$ docker image ls -q 
bd3d4369aebc 
4e38e38c8ced 


可 以 看 到 docker image ls -q 命令 只 返回 了 系统 中 本 地 拉 取 
的 全 部 镜像 的 ID 列表 。 将 这 个 列表 作为 参数 传 给 docker image rm 
会 删除 本 地 系统 中 的 全 部 镜像 。 


SN 


$ docker image rm $(docker image ls -q) -f 

Untagged: ubuntu:latest 

Untagged: ubuntu@sha256: f4691c9. . .2128ae95a60369c506dd6e6f 6ab 
Deleted: sha256:bd3d4369aebc494...fa2645f5699037d7d8c6b415a10 
Deleted: sha256:cd10a3b73e247dd...c3a71fcf5b6c2bb28d4F2e5360b 
Deleted: sha256:4d4de39110cd250. . .28bfe816393d0fF2e0dae82c363a 
Deleted: sha256:6a89826eba8d895...cbOd7dbailef62409f037c6e608b 
Deleted: sha256:33efada9158c32d...195aa12859239d35e7fe9566056 
Deleted: sha256:c8a75145fcc4e1a...4129005e461a43875a094b93412 
Untagged: alpine:latest 

Untagged: alpine@sha256: 3dcdb92. . .313626d99b889d0626de158Ff 73a 


Deleted: sha256: 4e38e38c8ce0b8d...6225e13b0bfe8cfa2321aec4bba 
Deleted: sha256:4fe15f8d0ae69e1...eeeeebb265cd2e328e15c6a869F 


$ docker image ls 
REPOSITORY TAG IMAGE ID CREATED SIZE 


请 读者 跟 本 书 一 起 ， 回 顾 一 下 刚才 操作 Docker 镜 像 用 到 的 命令 。 


6.3 ”镜像 一 命令 


e docker image pull 是 下 载 镜像 的 命令 。 镜 像 从 远程 镜像 仓库 
服务 的 仓库 中 下 载 。 默 认 情 况 下 ， 镜 像 会 从 Docker Hub 的 仓库 中 
拉 取 。docker image pull alpine:latest 命令 会 从 
Docker Hub 的 alpine 仓库 中 拉 取 标签 为 latest 的 镜像 。 

e docker image ls 列 出 了 本 地 Docker 主 机 上 存储 的 镜像 。 可 以 
通过 - -digests 参数 来 查看 镜像 的 SHA256 签 名 。 

e docker image inspect 命令 非常 有 用 ! 该 命令 完美 展示 了 镜 
像 的 细节 ， 包 括 镜像 层 数据 和 元 数据 。 

。 docker image rm 用 于 删除 镜像 。docker image rm 
alpine:latest 命令 的 含义 是 删除 alpine:1latest 镜像 。 当 
镜像 存在 关联 的 容器 ， 并 且 容 器 处 于 运行 (Up) 或 者 停止 

(Exited) 状态 时 ， 不 允许 删除 该 镜像 。 


6.4 ”本 章 小 结 


在 本 章 中 ， 读 者 学 习 了 Docker 镜 像 的 相关 内 容 ， 包 括 镜 像 与 虚拟 
机 模板 很 类 似 ， 可 用 于 启动 容 右 ， 镜像 由 一 个 或 多 个 只 读 镜 像 层 构 
成 ， 当 多 个 镜像 层 堆 县 在 一 起 ， 束 构成 了 一 个 完整 镜像 。 


本 书 使 用 docker image pull 命令 拉 取 镜像 到 Docker 主 机 本 地 


仓库 


本 章 还 涵盖 了 镜像 命名 、 官 方 和 非 官方 仓库 、 镜 像 分 层 、 镜 像 层 
共 圣 ， 以 及 加 密 ID 。 


本 音 还 介绍 ln 
Ap 


本 章 最 后 重新 梳理 了 第 见 的 镜像 
在 接 下 来 的 章 
像 。 


[1] 写 时 复制 。 一 一 译 者 注 


87% Dockers 


PEI EAT RAAT SB, EIN RAP Re Aas 了。 因为 本 
书 主要 介绍 Docker, HAXE Aas ARs Docker#4s ° (He, DockerB 
经 基本 实现 由 OCI 发 布 的 镜像 和 容器 标准 。 这 意味 着 读者 在 Docker 容 
a fay RE By ERWEE T OCRE RaT E 
WA fo} 


fe ROR BLT WR >) Bale | 
7.1 Docker 和 容器 一 简介 


容 郁 是 镜像 的 运行 时 实例 。 正 如 从 虚拟 机 模板 上 局 动 VM 一 样 ， 


用 户 也 同样 可 以 从 单个 镜像 上 局 动 一 个 或 多 个 容 右 。 TULA Aa 
大 的 区 别 是 容 需 更 快 并 且 更 轻 量 级 一 一 与 虚拟 机 运行 在 完整 的 操作 系 
统 之 上 相 比 ， 容 器 会 共享 其 所 在 主机 的 操作 系统 /内 核 。 
图 7.1 为 使 用 单个 Docker 镜 像 局 动 多 个 容 历 的 示意 图 。 
= docker container run [ 吧 
镜像 


容器 


图 7.1 使 用 单个 Docker 镜 像 启动 多 个 容器 


启动 容器 的 简便 方式 是 使 用 docker container run 命令 。 该 
命令 可 以 携带 很 多 参数 ， 在 其 基础 的 格式 docker container run 
<image> <app> 中 ， 指 定 了 启动 所 需 的 镜像 以 及 要 运行 的 应 用 。 
docker container run -it ubuntu /bin/bash 则 会 启动 某 
个 Ubuntu Linux 容 器 ， 并 运行 Bash Shell 作 为 其 应 用 ;， 如果 想 局 动 
PowerShell 并 运行 一 个 应 用 ， 则 可 以 使 用 命令 docker container 
run -it microsoft- /powershell:nanoserver pwsh.exe 


-it BRAY OES BA ee eB A as HY Shell?4 sig Z_E ° 


容器 随 着 其 中 运行 应 用 的 退出 而 终止 。 在 上 面 两 个 示例 中 ，Linux 
容器 会 在 Bash Shell 退 出 后 终止 ， 而 Windows 容 器 会 在 PowerShell 进 程 


w 
A 
I 


一 个 简单 的 验证 方法 就 是 局 动 独 的 容 絮 ， 并 运行 sleep 命令 休眠 
10s。 容 器 会 局 动 ， 然 后 运行 休眠 命令 ， 在 10s 后 退出 。 如 采 读 者 在 
Linux 主 机 《或 者 在 Linux 容 器 模式 下 的 Windows 主 机 上 ) 运行 docker 
container run alpine:latest sleep 10 命令 ，Shell 会 连接 
到 容 絮 Shell 10s 的 时 间 ， 然 后 退出 ; 读者 可 以 在 Windows 容 右上 运行 
docker container run 
microsoft/powershell:nanoserver Start-Sleep -s 10 
来 验证 这 一 点 。 


读者 可 以 使 用 docker container stop 命令 手动 停止 容器 运 
行 ， 并 且 使 用 docker container start 再 次 启动 该 容器 。 如 果 再 
也 不 需要 该 容器 ， 则 使 用 docker container rm 命令 来 删除 容 
BR 


以 上 仅仅 是 “电梯 游说 ”! 接 下 来 一 起 了 解 更 多 细节 。 


7.2 ” Docker 容器 一 一 详解 


目 先 要 介绍 一 下 容 絮 和 虚拟 机 的 根本 性 区 别 。 本 阶段 以 理论 为 
主 ， 但 是 这 也 很 重要 。 在 这 个 过 程 中 ， 本 书 会 指出 容 右 模型 相 比 于 虚 
拟 机 模型 的 洪 在 优势 。 


作为 作者 ， 我 需要 提前 澄清 一 点 ， 很 多 人 对 自己 所 从 事 的 工作 以 及 所 拥有 的 技 
能 充满 热爱 。 犹 记得 很 多 UNIX 的 支持 者 都 抵制 Linux 的 崛起 ， 读 者 可 能 也 有 类 似 的 
情怀 ， 读 者 可 能 还 记得 有 人 也 试图 抵制 YMware 和 虚拟 机 为 当前 主流 。 在 这 两 种 场景 
中 , “坚持 无 效 ”。 本 章 会 着 重 介绍 容器 模型 优 于 虚拟 机 模型 的 一 些 优 点 。 也 许 很 多 
读者 都 是 虚拟 机 专家 ， 在 相关 生态 环境 中 投入 很 多 ， 同 时 也 许 有 一 两 个 人 想 对 我 的 
观点 发 起 挑战 。 要 知道 ， 我 也 是 个 名 人 ， 会 在 辩论 中 将 挑战 者 正面 击败 〈 开 个 玩 
笑 ) 。 但 是 我 本 意 并 不 是 想 旗 毁 或 者 推翻 什么 ! 而 是 试图 为 读者 提供 帮助 。 写 作 本 
书 的 全 部 目的 就 是 帮助 读者 了 解 Docker 以 及 容器 ! 


现在 开始 吧 。 
7.2.1 容器 vs 虚拟 机 


容 絮 和 虚拟 机 都 依赖 于 窒 主 机 才能 运行 。 箱 主机 可 以 古 笔记 本 ， 
古 数 据 中 心 的 物理 服务 器 ， 也 可 以 是 公有 云 的 某 个 实例 。 在 下 面 的 示 
例 中 ， 假 设 答 主机 是 一 台 需 要 运行 4 个 业务 应 用 的 物理 服务 器 。 


在 虚拟 机 模型 中 ， 首 先 要 开启 物理 机 并 启动 Hypervisor 引 导 程 序 

(本 书 跳 过 了 BIOS 和 Bootloader 代 码 等 ) 。 一 旦 Hypervisor 启 动 ， 束 会 
占有 机 器 上 的 全 部 物理 资源 ， 如 CPU、RAM、 存 储 和 NIC 。Hypervisor 
接 下 来 就 会 将 这 些 物理 资源 划分 为 虚拟 资源 ， 并 且 看 起 来 与 真实 物理 
资源 完全 一 致 。 然 后 Hypervisor 会 将 这 些 资源 打包 进 一 个 叫 作 虚 拟 机 

(VM) 的 软件 结构 当中 。 这 样 用 户 束 可 以 使 用 这 些 虚 拟 机 ， 并 在 其 
中 安装 操作 系统 和 应 用 。 前 面 提 到 需要 在 物理 机 上 运行 4 个 应 用 ， 所 以 
在 Hypervisor 之 上 需要 创建 4 个 虚拟 机 并 安装 4 个 操作 系统 ， 然 后 安装 4 
个 应 用 。 当 操作 完成 后 ， 结 构 如 图 7.2 所 示 。 


Hypervisor 


物理 机 


图 7.2 运行 4 个 业务 应 用 的 物理 服务 器 
而 容器 模型 则 略 有 不 同 。 


服务 器 局 动 之 后 ， 所 选择 的 操作 系统 会 启动 。 在 Docker 世 界 中 可 
以 选择 Linux， 或 者 内 核 支 持 内 核 中 的 容器 原 语 的 新 版 本 Windows。 与 
虚拟 机 模型 相同 ，OS 也 占用 了 全 部 硬件 资源 。 在 OS 层 之 上， 需要 安 
装 容器 引擎 (如 Docker) 。 容 器 引 警 可 以 获取 系统 资源 ， 比如 进程 
树 、 文 件 系统 以 及 网 络 栈 ， 接 着 将 资源 分 割 为 安全 的 互相 隔离 的 资源 
结构 ， 称 之 为 容 絮 。 每 个 容器 看 起 来 就 像 一 个 真实 的 操作 系统 ， 在 其 
内 部 可 以 运行 应 用 。 按 照 前 面 的 假设 ， 需 要 在 物理 机 上 运行 4 个 应 用 。 
因此 ， 需 要 划分 出 4 个 容 亏 并 在 每 个 容 厚 中 运行 一 个 应 用 ， 如 图 7.3 所 
不 。 


图 7.3 ”划分 4 个 容器 


从 更 高 层面 上 来 讲 ，Hypervisor 是 硬件 虚拟 化 (Hardware 
Virtualization) Hypervisor 将 人 硬件 物理 资源 划分 为 虚拟 资源 ， 为 
外 ， 容 器 是 操作 系统 虚拟 化 (OS Virtualization) 一 容器 将 系统 资 
源 划 分 为 虚拟 资源 。 


7.2.2 ”虚拟 机 的 额外 开销 


基于 前 文 所 述 内 容 ， 接 下 来 会 着 重 探讨 Hypervisor 模 型 的 一 个 主要 


问题 。 


首先 我 们 的 目标 是 在 一 台 物 理 机 上 运行 4 个 业务 相关 应 用 。 每 种 模 
型 示例 中 都 安装 了 一 个 操作 系统 或 者 Hypervisor (一 种 针对 虚拟 机 高 度 
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虚拟 机 模型 将 底层 硬件 资源 划分 到 虚拟 机 当中 。 每 个 虚拟 机 都 是 
包含 了 虚拟 CPU、 虚 拟 RAM、 虚 拟人 磁盘 等 资源 的 一 种 软件 结构 。 
此 ， 每 个 虚拟 机 都 需要 有 目 己 的 操作 系统 来 声明 、 初 始 化 并 管理 这 些 
虚拟 资源 。 但 不 斑 的 是 ， 探 作 系 统 本 身 是 有 其 额外 开销 的 。 例 如 ， 
个 操作 系统 都 消耗 一 点 CPU、 一 点 RAM 、 一 点 存储 空间 等 。 每 个 操作 
系统 都 需要 独立 的 许可 证 ， 并 昌都 需要 打 补 丁 升 级 ， 每 个 操作 系统 也 
都 面临 被 攻击 的 风险 。 通 常 将 这 种 现象 称 作 OS Tax 或 者 VM Tax , 
个 操作 系统 都 占用 一 定 的 资源 。 


容 磊 模型 具有 在 答 主 机 操作 系统 中 运行 的 单个 内 核 。 在 一 台 主 机 
上 运行 数 十 个 甚至 数 百 个 容 禹 都 是 可 能 的 一 一 容 亏 共 邓 一 个 操作 系统 / 
内 核 。 这 意味 着 只 有 一 个 操作 系统 消耗 CPU、RAM 和 存储 资源 ， 只 有 
一 个 操作 系统 需要 授权 ， 只 有 一 个 操作 系统 需要 升级 和 打 补 本 。 同 
一 个 操作 系统 面临 被 攻击 的 风险 。 人 简 言 之 ， 束 是 只 有 一 份 OS 
TURE ! 


在 上 述 单 台 机 器 上 只 需要 运行 4 个 业务 应 用 的 场景 中 ， 也 许 问 题 尚 
不 明显 。 但 当 需 要 运行 成 百 上 千 应 用 的 时 候 ， 就 会 引起 质 的 变化 。 


另 一 个 值得 考虑 的 事情 是 启动 时 间 。 因 为 容器 并 不 是 完整 的 操作 
系统 ， 所 以 其 启动 要 远 比 虚拟 机 快 。 切 记 ， 在 容器 内 部 并 不 需要 内 
核 ， 也 就 没有 定位 、 解 压 以 及 初始 化 的 过 程 一 更 不 用 提 在 内 核 启动 
过 程 中 对 硬件 的 遍历 和 初始 化 了 。 这 些 在 容器 启动 的 过 程 中 统统 都 不 
需要 ! 唯一 需要 的 是 位 于 下 层 操作 系统 的 共享 内 核 是 启动 了 的 ! 最 终 
结果 就 是 ， 容 器 可 以 在 1s 内 启动 。 唯 一 对 容器 启动 时 间 有 影响 的 就 是 
容器 内 应 用 启动 所 花费 的 时 间 。 


这 就 是 容 右 模型 要 比 虚 拟 机 模型 简洁 并 且 高 效 的 原因 了 。 使 用 容 
磊 可 以 在 更 少 的 资源 上 运行 更 多 的 应 用 ， 启 动 更 快 ， 并 且 文 付 更 少 的 
授权 和 管理 费用 ， 同 时 面 对 未 知 攻击 的 风险 也 更 小 。 还 有 什么 理由 不 
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喜欢 容器 呢 ! 
除了 上 述 的 理论 基础 之 外 ， 接 下 来 请 跟随 本 书 一 起 使 用 容器 完成 


一 些 实战 。 


7.2.3 ”运行 的 容器 


为 了 完成 下 面 的 示例 ， 读 者 需要 一 个 运行 Docker 的 主机 。 对 于 大 


多 数 命令 来 说 ， 无 论 是 Linux 还 是 Windows 都 没有 差别 。 
7.2.4 ”检查 Docker daemon 


通常 登录 Docker 主 机 后 的 第 一 件 事情 是 检查 Docker 是 否 正 在 运 
行 。 


$ docker version 
Client: 
Version: API 17.05.0-ce 
version: Go 1.29 
version: Git go1.7.5 


commit: 89658be 
Built: Thu May 4 22:10:54 2017 
OS/Arch: linux/amd64 

Server: 


Version: 17.05.0-ce 


API version: 1.29 (minimum version 1.12) 


Go version: go1.7.5 

Git commit: 89658be 

Built: Thu May 4 22:10:54 2017 
OS/Arch: linux/amd64 


Experimental: false 


当 命令 输出 中 包含 Client 和 Server 的 内 容 时 ， 可 以 继续 下 面 
的 示例 。 如 果 在 Server 部 分 中 包含 了 错误 码 ， 这 表示 Docker daemon 
很 可 能 没有 运行 ， 或 者 当前 用 户 没 有 权限 访问 。 


如 果 在 Linux 中 侦 到 无 权限 访问 的 问题 ， 需 要 确认 当前 用 户 是 否 属 
于 本 地 Docker UNIX 组 。 如 果 不 是 ， 可 以 通过 usermod -aG docker 
<user> 来 添加 ， 然 后 退出 并 重新 登录 Shell， 改 动 即 可 生效 。 


如 果 当 前 用 户 已 经 属于 本 地 docker 用 户 组 ， 那 么 问题 可 能 是 
Docker daemon 没 有 ET EL ° ° 根据 Docker 主 机 的 操作 系统 在 下 面 的 内 
容 中 选择 一 条 合适 的 命令 ， 来 检查 Docker daemon 的 状态 。 


// 使 用 Systemd 在 Linux 系 统 中 执行 该 命 
$ service docker status 
docker start/running, process 29393 


// 使 用 Systemd 在 Linux 系 统 中 执行 该 命令 
$ systemctl is-active docker 
active 


// 在 Windows Server 2016 的 PowerShell 窗 口中 运行 该 命令 
> Get-Service docker 


Name DisplayName 


Running Docker docker 


如 果 Docker daemon 正 在 运行 中 ， 则 可 以 继续 下 面 的 步 又 。 


7.2.5 ”启动 一 个 简单 容器 


ANY fo) 
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Ubuntu Linux ° 


$ docker container run -it ubuntu:latest /bin/bash 
Unable to find image 'ubuntu:latest' locally 
latest: Pulling from library/ubuntu 

952132ac251a: Pull complete 

82659f8f1b76: Pull complete 

c19118ca682d: Pull complete 

8296858250fe: Pull complete 


24e0251a0e2c: Pull complete 
Digest: sha256:f4691c96e6bbaa99d9. . .e95a60369c506dd6e6f 6ab 
Status: Downloaded newer image for 


ubuntu: latest 
root@3027eb644874: /# 


Windows 示 例 。 


docker container run -it microsoft/powershell:nanoserver pwsh.exe 


命令 的 基础 格式 为 docker container run <options> 
<im- age>:<tag> <app> ° 


示例 中 使 用 docker container run 来 启动 容器 ， 这 也 是 启动 
新 容器 的 标准 命令 。 命 令 中 使 用 了 -it 参数 使 容器 具备 交互 性 并 与 终 
端 进行 连接 。 接 下 来 ， 命 令 中 指定 了 具体 镜像 ubuntu: latest 或 者 
microsoft/powershell:nanoserver 。 最 终 ， 在 命令 中 指定 了 
运行 在 容器 中 的 程序 ，Linux 示 例 中 是 Bash Shell，Windows 示 例 中 为 
PowerShell ° 


Sm ER 之 后 ，Docker 客 户 端 选择 合适 的 API 来 调用 Docker 
daemon ° Docker daemon 接 收 到 命令 并 搜索 Docker 本 地 缓存 ， 观 察 是 否 
有 命令 所 请 求 的 镜像 。 在 上 面 引 用 的 示例 中 ， 本 地 缓存 并 未 包含 该 镜 
像 ， 所 以 Docker 接 下 来 查询 在 Docker Hub 中 是 否 存 在 对 应 镜像 。 找 到 
该 镜像 后 ，Docker 将 镜像 拉 取 到 本 地 ， 存 储 在 本 地 缓存 当中 。 


在 标准 的 、 开 箱 即 用 的 Linux 安 装 版 中 ，Docker daemon 通 过 位 

于 /var/run/docker .sock 的 本 地 IPC/Unix socket 来 实现 Docker 远 程 API; 在 
Windows 中 ，Docker daemon 通 过 监听 名 为 npipe:////./pipe/docker_engine 
的 管道 来 实现 。 通 过 配置 ， 也 可 以 借助 网 络 来 实现 Docker Client 和 daemon 之 间 的 通 
言 。Docker 默 认 非 TLS 网 络 端 口 为 2375，TLS 默 认 端 口 为 2376。 


一 旦 镜像 拉 取 到 本 地 ，daemon 束 创建 容器 并 在 其 中 运行 指定 的 应 


如 有 果 仔 细 观 察 ， 就 会 发 现 Shell 提 示 符 发 生 了 变化 ， 说 明 目 前 已 经 
位 于 容器 内 部 了 。 在 上 面 的 示例 中 ，Shell 提 示 符 已 经 变 为 
root@3027eb644874:/#。@ 之 后 的 一 长 捉 数 字 就 是 容器 唯一 ID 的 


ake. 


前 12 个 字符 © 


香 符 试 在 容 船 内 执行 一 些 基 础 命令 ， 可 能 会 发 现 某 些 指令 无 法 正 
常 工作 。 这 是 因为 大 部 分 容 右 镜像 都 钙 经 过 高 度 优 化 的 。 这 意味 着 某 
些 命令 或 者 包 可 能 没有 安装 。 下 面 的 示例 展示 了 两 个 命令 一 一 一 条 执 
行 成 功 ， 一 条 执行 失败 。 


root@3027eb644874:/# 1s -1 
total 64 


drwxr-xr-x 2 root root 4096 Aug 19 00:50 bin 
drwxr-xr-x 2 root root 4096 Apr 12 20:14 boot 
drwxr-xr-x 5 root root 380 Sep 13 00:47 dev 
drwxr-xr-x 45 root root 4096 Sep 13 00:47 etc 
drwxr-xr-x 2 root root 4096 Apr 12 20:14 home 
drwxr-xr-x 8 root root 4096 Sep 13 2015 lib 
drwxr-xr-x 2 root root 4096 Aug 19 00:50 lib64 
drwxr-xr-x 2 root root 4096 Aug 19 00:50 media 
drwxr-xr-x 2 root root 4096 Aug 19 00:50 mnt 
drwxr-xr-x 2 root root 4096 Aug 19 00:50 opt 
dr-xr-xr-x 129 root root © Sep 13 00:47 proc 
drwx------ 2 root root 4096 Aug 19 00:50 root 
drwxr-xr-x 6 root root 4096 Aug 26 18:50 run 
drwxr-xr-x 2 root root 4096 Aug 26 18:50 sbin 
drwxr-xr-x 2 root root 4096 Aug 19 00:50 srv 
dr-xr-xr-x 13 root root © Sep 13 00:47 sys 
drwxrwxrwt 2 root root 4096 Aug 19 00:50 tmp 
drwxr-xr-x 11 root root 4096 Aug 26 18:50 usr 
drwxr-xr-x 13 root root 4096 Aug 26 18:50 var 


root@3027eb644874:/# ping www.docker.com 


bash: ping: command not found 


从 上 面 的 输出 中 可 以 看 出 ，ping 工具 包 并 不 是 官方 Ubuntu 镜像 


7.2.6 ”容器 进程 


7.2.5 节 中 局 动 Ubuntu 容器 之 时 ， 让 容器 运行 Bash Shell 
(/bin/bash ) 。 这 使 得 Bash Shel] 成 为 容器 中 运行 的 且 唯 一 运行 的 
进程 。 读 者 可 以 通过 ps -elf 命令 在 容器 内 部 查看 。 


root@3027eb644874:/# ps -elf 
F S UID 4 PID PPID NI ADDR SZ WCHAN STIME TTY TIME 


0 - 4558 wait 00:47 ? 00:00:00 


R root 0 - 8604 - 00:52 ? 00:00:00 ps - 
elf 


上 面 的 输出 中 看 起 来 好 像 有 两 个 正在 运行 的 进程 ， 其 实 并 非 如 
此 。 列 表 中 PID 为 1 的 进程 ， 是 容 需 被 告知 要 运行 的 Bash Shell; 第 二 个 
进程 是 ps -elf 命令 产生 的 ， 这 是 个 临时 进程 ， 并 且 在 输出 后 就 已 经 
退出 了 。 也 就 是 说 ， 这 个 容器 当前 只 运行 了 一 个 进程 一 /bin/basnh 


Windows 容 器 有 所 不 同 ， 通 常会 运行 相当 多 的 进程 。 


这 意味 着 如 果 通 过 输入 exit 退 出 Bash Shell， 那 么 容器 也 会 退出 


(终止 ) 。 原 因 是 容器 如 果 不 运 行 任何 进程 则 无 法 存在 一 一 杀 死 Bash 
Shell 即 杀 死 了 容器 唯一 运行 的 进程 ， 导 致 这 个 容 需 也 被 杀 死 。 这 对 于 

o ie 杀 死 容器 中 的 主 进程 ， 则 容器 也 会 
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按 下 Ctr1-PQ 组 合 键 则 会 退出 容器 但 并 不 终止 容器 运行 。 这 样 做 
会 切 回 到 Docker 主 机 的 Shell， 并 保持 容器 在 后 人 台 运 行 。 可 以 使 用 
docker container ls 命令 来 观察 当前 系统 正在 运行 的 容器 列 
表 。 


$ docker container 1s 
CNTNR ID IMAGE COMMAND CREATED STATUS NAMES 
302. ..74 ubuntu:latest /bin/bash 6 mins Up 6mins 


sick_montalcini 


当前 容器 仍然 在 运行 ， 并 且 可 以 通过 docker container 
exec 命令 将 终端 重新 连接 到 Docker， 理 解 这 一 点 很 重要 。 


$ docker container exec -it 3027eb644874 bash 
root@3027eb644874: /# 


用 于 重 连 Windows Nano Server PowerShellZ 4s Hip 7 docker 
container exec -it <container-name-or-ID> pwsh.exe 


0 


正如 读者 所 见 ，Shell 提 示 符 切换 到 了 容器 。 如 果 读 者 再 次 运行 ps 
命令 ， 会 看 到 两 个 Bash 或 者 PowerShell 进 程 ， 这 是 因为 docker 
container exec 命令 创建 了 狐 的 Bash 或 者 PowerShell 进 程 并 旦 连接 
到 容 絮 。 这 意味 着 在 当前 Shell 输 入 exit 并 不 会 导致 容 姨 终 止 ， 因 为 
原 Bash 或 者 PowerShell 进 程 还 在 运行 当中 。 


输入 exit 退 出 容器 ， 并 通过 命令 docker container ps 来 确认 
容器 依然 在 运行 中 。 果 然 容器 还 在 运行 。 


如 果 在 自己 的 Docker 主 机 上 运行 示例 ， 则 需要 使 用 下 面 两 个 命令 
来 停止 并 删除 容器 (读者 需要 将 ID 替换 为 自己 容器 的 ID) 。 


$ docker container Stop 3027eb64487 
3027eb64487 


$ docker container rm 3027eb64487 
3027eb64487 


7.2.7 ”容器 生命 周期 


坊间 流传 容 右 不 能 持久 化 数据 。 其 实 容 右 可 以 做 到 ! 


人 们 认为 容 需 不 擅长 持久 化 工作 或 者 持久 化 数据 ， 很 大 程度 上 是 
因为 容 需 在 非 持 久 化 领域 上 表现 得 太 出 色 。 但 是 在 一 个 领域 做 得 很 好 
并 不 意味 痢 不 擅长 其 他 的 领域 。 很 多 虚拟 机 管理 员 会 记得 微软 或 者 
Oracle 告 诉 他 们 不 能 在 虚拟 机 中 运行 他 们 的 应 用 ， 至 少 他 们 不 会 文 持 
这 么 做 。 有 时 会 想到 容器 身上 古 否 也 在 发 生 类 似 的 事情 一 一 一 些 人 为 
了 保护 他 们 的 持久 化 业务 帝国 避免 受到 容器 的 威胁 才 这 么 说 ? 


本 节 主 要 关注 容器 的 生命 周期 一 一 从 创建 、 运 行 、 休 眠 ， 直 至 销 
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前 面 介绍 了 如 何 使 用 docker container run 命令 来 启动 容 
佛 。 接 下 来 会 重新 启动 一 个 新 的 容器 ， 这 样 束 可 以 观察 期 完整 的 生命 
周期 。 下 面 的 示例 中 会 采用 Linux Docker 主 机 来 运行 Ubuntu 容 器 。 但 
同时 ， 示 例 内 容 在 前 面 例子 中 使 用 过 的 Windows PowerShell ae Pt 
是 生效 的 一 尽管 读者 需要 将 Linux 命 令 替 换 为 对 应 的 Windows 命 令 。 


$ docker container run --name percy -it ubuntu:latest /bin/bash 
root@9cb2d2fd1id65:/# 


这 就 是 新 建 的 容器 ， 名 称 为 "percy”， 意 指 持久 化 (persistent) 
接 下 来 把 该 容器 投入 使 用 ， 将 一 部 分 数据 写 入 其 中 。 


在 新 容器 内 部 Shell 中 ， 执 行 下 面 的 步骤 来 将 部 分 数据 写 入 到 tmp 
目录 下 的 某 个 文件 中 ， 并 确认 数据 是 否 写 入 成 功 。 


root@9cb2d2fd1d65:/# cd tmp 


root@9cb2d2fd1id65:/tmp# ls -1 
total 0 


root@9cb2d2fd1d65:/tmp# echo "DevOps FTW" > newfile 


root@9cb2d2fd1d65:/tmp# ls -1 


total 4 
-rw-r--r-- 1 root root 14 May 23 11:22 newfile 


root@9cb2d2fd1d65:/tmp# cat newfile 
DevOps FTW 


Ctr 1-PQ 组 合 键 退 出 当前 容器 。 


现在 使 用 docker container stop 命令 来 停止 容器 运行 ， 切 
换 到 和 暂停 (vacation) 状态 。 


$ docker container Stop percy 
percy 


读者 可 以 在 docker container stop 命令 中 指定 容器 的 名 称 
或 者 ID。 上 有 具体 格式 为 docker container stop <container-id 
or container-name> 。 

现在 运行 docker container ls 命令 列 出 全 部 处 于 运行 中 状 


my Ae 


态 的 容器 。 


$ docker container 1s 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


新 建 的 容器 没有 在 上 面 的 列表 中 出 现 ， 原 因 是 读者 通过 docker 
container stop 命令 使 该 容器 停止 运行 。 加 上 -a 参数 再 次 运行 前 
面 的 命令 ， 就 会 显示 出 全 部 的 容器 ， 包 括 处 于 停止 状态 的 。 


$ docker container ls -a 
CNTNR ID IMAGE COMMAND CREATED STATUS NAMES 


9cb...65 ubuntu:latest /bin/bash 4 mins Exited (0) percy 
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像 停止 虚拟 机 一 样 。 尽 管 已 经 停止 运行 ， 容 器 的 全 部 配置 和 内 容 仍 然 
保存 在 Docker 主 机 的 文件 系统 之 中 ， 并 且 随 时 可 以 重新 启动 。 


使 用 docker container start 命令 可 以 将 容器 重新 启动 。 


$ docker container Start percy 
percy 


$ docker container 1s 
CONTAINER ID IMAGE COMMAND CREATED STATUS 


NAMES 
9cb2d2fdid65 ubuntu:latest "/bin/bash" 4 mins Up 3 secs 


现在 停止 的 容器 已 经 重新 启动 了 ， 此 时 可 以 确认 之 前 创建 的 文件 
是 否 还 存在 。 使 用 docker container exec 命令 连接 到 重启 后 的 


Shell 提 示 符 发 生变 化 ， 提 示 正 在 容 亏 内 部 空间 进行 操作 。 


进行 
确认 之 前 创建 的 文件 依然 存在 ， 并 且 文 件 中 仍 包含 之 前 写 入 的 数 


据 


root@9cb2d2fd1d65:/# cd tmp 
root@9cb2d2fdid65:/# 1s -1 

-rw-r--r-- 1 root root 14 Sep 13 04:22 newfile 
root@9cb2d2fd1id65:/# 


root@9cb2d2fdid65:/# cat newfile 
DevOps FTW 


像 是 魔术 一 般 ， 之 前 创建 的 文件 依然 存在 ， 并 且 文 件 中 包含 的 数 
Pe eae JO UE AA fe 1k A aS THEN A Be EY 
数据 o 


尽管 上 面 的 示例 阐明 了 容器 的 持久 化 特性 ， 还 十 需要 指出 卷 
(volume) 才 是 在 容器 中 存储 持久 化 数据 的 首选 方式 。 但 是 在 当前 阶 
段 ， 这 个 示例 用 于 说 明 容器 的 持久 化 特性 已 经 足够 了 。 


ae a 前 为 止 ， 读 者 应 该 对 容器 和 虚拟 机 之 间 的 主要 区 别 有 了 深刻 
印象 。 


现在 停止 该 容器 并 从 系统 中 删除 它 。 


通过 在 docker container rm 命令 后 面 添加 -f 参数 来 一 次 性 
删除 运行 中 的 容器 是 可 行 的 。 但 是 ， 删 除 容器 的 最 佳 方式 还 是 分 两 
步 ， 先 停止 容器 然后 删除 。 这样 可 以 给 容器 中 运行 的 应 用 /进程 一 个 停 
止 运 行 并 清理 残留 数据 的 机 会 。 


在 下 一 个 示例 中 会 停止 percy 容 句 ， 删 除 它 并 确认 操作 成 功 。 如 
果 读 者 终端 仍 连 接 到 percy 容器 ， 则 需要 按 下 Ctr1L-PQ 组 合 键 先 返 
回 Docker 主 机 终端 。 


$ docker container Stop percy 
percy 


$ docker container rm percy 


percy 


$ docker container 1s -a 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 
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如， 那么 之 后 可 以 作为 无 服务 的 工具 使 用 ， 如 果 没 有 用 处 ， 则 充其量 
也 就 是 一 个 鉴 脚 的 终端 。 

总 结 一 下 容 右 的 生命 周期 。 可 以 根据 需要 多 次 停止 、 局 动 、 暂 集 
以 及 重 局 容 如 ， 并 且 这 些 操作 执行 得 很 快 。 但 是 容器 及 其 数据 是 安全 
的 。 直 至 明确 删除 容 融 前 ， 容 亏 都 不 会 丢弃 其 中 的 数据 。 束 算 容 船 被 
删除 了 ， 如 果 将 容 需 数据 存储 在 卷 中 ， 数 据 也 会 被 保存 下 来 。 


下 面 简 单 说 明 一 下 为 什么 推荐 两 阶段 方式 来 停止 并 删除 容 絮 。 


7.2.8 ”优雅 地 停止 容器 


Linux 世 界 中 ， 大 部 分 容 屁 都 会 运行 单一 进程 ， 在 Windows 中 可 能 
运行 若干 个 ,但 是 下 面 的 原则 对 于 两 者 都 适用 。 


前 面 的 示例 中 容器 正在 运行 /bin/bash 应 用 。 当 使 用 docker 
container rm <container> -f 来 销毁 运行 中 的 容器 时 ， 不 会 发 
出 任何 告警 。 这 个 过 程 相 当 暴 力 一 有 点 像 悄悄 接近 容器 后 在 脑 后 突 
施 冷 枪 。 训 无 征兆 地 被 销毁 ， 会 令 容 如 和 应 用 狂 不 及 防 ， 来 不 及 “处 理 


H 


但 是 ，docker container stop 命令 就 有 礼貌 多 了 (就 像 用 
枪 指 着 容器 的 脑袋 然后 说 “你 有 10s 时 间 说 出 你 的 遗言 "”) 。 该 命令 给 容 
器 内 进程 发 送 将 要 停止 的 警告 信息 ， 给 进程 机 会 来 有 序 处 理 停 止 前 要 
做 的 事情 。 一 旦 docker stop 命令 返回 后 ， 就 可 以 使 用 docker 


my ua 


container rm 命令 删除 容器 了 ° 


这 背后 的 原理 可 以 通过 Linux/POSIX 信 和 号 来 解释 。docker 
container stop 命令 回 容 需 内 的 PID 1 进程 发 送 了 SIGTERM 这样 
的 信号 。 驶 像 前 文 提 到 的 一 样 ， 会 为 进程 预 留 一 个 清理 并 优雅 停止 的 
机 会 。 如 有 果 10s 内 进程 没有 终止 那么 束 会 收 到 SIGKILL 信号 。 这 是 
致命 一 击 。 但 是 ， 进 程 起 码 有 10s 的 时 间 来 “解决 > 目 己 。 


docker container rm <container> -f 命令 不 会 先 友好 
地 发 送 SIGTERM ， 这 条 命令 会 直接 发 出 SIGKILL 。 就 像 刚 刚 所 打 的 
比方 一 样 ， 该 命令 悄悄 接近 并 对 容器 发 起 致命 一 击 。 顺 便 说 明 ， 我 可 
没有 又 力 倾 回 | 


7.2.9 利用 重 局 策略 进行 容器 的 目 我 修复 

通常 建议 在 运行 容器 时 配置 好 重启 策略 。 这 是 容器 的 一 种 自我 修 
复 能 力 ， 可 以 在 指定 事件 或 者 错误 后 重启 来 完成 自我 修复 。 

重启 策略 应 用 于 每 个 容器 ， 可 以 作为 参数 被 强制 传 入 docker - 


container run 命令 中 ， 或 者 在 Compose 文 件 中 声明 (在 使 用 
Docker Compose 以 及 Docker Stacks 的 情况 下 ) 


截至 本 书 撰写 时 ， 容 器 支持 的 重启 策略 包括 always » unless- 
stopped 和 on-failed ° 


always 策略 是 一 种 简单 的 方式 。 除 非 容 器 被 明确 停止 ， 比 如 通 
过 docker container stop 命令 ， 否 则 该 策略 会 一 直 尝 试 重启 处 
于 停止 状态 的 容器 。 一 种 简单 的 证 明 方 式 是 启动 一 个 新 的 交互 式 容 
器 ， 并 在 命令 后 面 指定 - -restart always 策略 ， 同 时 在 命令 中 指 
定 运 行 Shell 进 程 。 当 容 咒 启动 的 时 候 ， 会 登录 到 该 Shell。 退 出 Shell 时 
会 杀 死 容器 中 PID 为 1 的 进程 ， 并 且 杀 死 这 个 容器 。 但 是 因为 指定 了 -- 
restart always 宽 略 ， 所 以 容器 会 自动 重启 。 如 采 运 行 docker 
container 1s 命令 ， 就 会 看 到 容器 的 启动 时 间 小 于 创建 时 间 。 下 面 
请 看 示例 。 


$ docker container run --name neversaydie -it --restart always 
alpine sh 


// 等 待 几 秒 后 输入 exit 


$ docker container ls 

CONTAINER ID IMAGE COMMAND CREATED STATUS 
0901afb84439 alpine "sh" 35 seconds ago Up 1 
second 


注意 ， 容 器 于 35s 前 被 创建 ， 但 却 在 18 前 才 启动 。 这 是 因为 在 容器 
中 输入 退出 命令 的 时 候 ， 容 器 被 杀 死 ， 然 后 Docker 又 重新 启动 了 该 容 
BR o 


--restart always 策略 有 一 个 很 有 意思 的 特性 ， 当 daemon 重 
局 的 时 候 ， 停 止 的 容器 也 会 被 重启 。 例 如 ， 新 创建 一 个 容 需 并 指定 - - 
restart always 寅 上 略 ， 然 后 通过 docker container stop 命令 
停止 该 容 磺 。 现 在 容 硕 处 于 Stopped (Exited) 状态 。 但 是 ， 如 果 
重启 Docker daemon， 当 daemon 启 动 完成 时 ， 该 容 絮 也 会 重新 启动 。 


always 和 unless-stopped 的 最 大 区 别 ， 就 是 那些 指定 了 -- 
restart unless-stopped 并 处 于 Stopped (Exited) 状态 的 容 
at, 7\2%£Docker daemon 重 局 的 时 候 被 重启 。 这 个 说 法 可 能 令 人 有 点 
迷惑 ， 接 下 来 通过 示例 进行 演示 。 


PCIE A, EL “always’# asa x --restart 
always 策略 ， 男 一 个 “unless- stopped”A#stae T --restart 
unless-stopped 策略 。 两 个 容 需 均 通 过 docker container 
stop 命令 停止 ， 接 着 重启 Docker。 结 果 “always” 容 器 会 重启 ， 但 


7=“unless-stopped” Aaa PhS ° 
(1) 创建 两 个 新 容器 。 


$ docker container run -d --name always \ 
--restart always \ 
alpine sleep 1d 


docker container run -d --name unless-stopped \ 
--restart unless-stopped \ 
alpine sleep 1d 


$ docker container 1s 

CONTAINER ID IMAGE COMMAND STATUS NAMES 
3142bd91ecc4 alpine "sleep id" Up 2 secs unless-stopped 
4f1b431ac729 alpine "sleep id" Up 17 secs always 


现在 有 两 个 运行 的 容器 了 。 一 个 叫 作 “always”， 画 一 个 叫 
VE“unless-stopped” ° 


(2) 停止 两 个 容器 。 


$ docker container stop always unless-stopped 


$ docker container ls -a 
CONTAINER ID IMAGE STATUS NAMES 


3142bd91ecc4 alpine Exited (137) 3 seconds ago unless- 
stopped 
4f1b431ac729 alpine Exited (137) 3 seconds ago always 


(3) 重启 Docker ° 


重启 Docker 的 过 程 在 不 同 的 操作 系统 上 可 能 不 同 。 下 面 的 示例 中 
展示 了 如 何在 Linux 上 使 用 systemd 重 局 Docker， 在 Windows Server 2016 
上 可 以 使 用 restart-service 重 启 。 


$ systemlctl restart docker 


(4) 一 旦 Docker 重 启 成 功 ， 检 查 两 个 容器 的 状态 。 


$ docker container 1s -a 
CONTAINER CREATED STATUS 
314. .cc4 2 minutes ago Exited (137) 2 minutes ago 


unless-stopped 
4f1..729 2 minutes ago Up 9 seconds 


注意 到 “always” 容 器 (启动 时 指定 了 - -restart always 策略 ) 
已 经 重启 了 ， 但 是 “unless-stopped”* 容 颖 (启动 时 指定 了 --restart 
unless-stopped 策略 ) 并 没有 重启 。 


on-failure 筑 略 会 在 退出 容器 并 且 返 回 值 不 是 0 的 时 候 ， 重 局 容 
an ° MRAR +stopped 状态 ， 在 Docker daemon 重 局 的 时 候 ， 容 
aS EA ° 


如 果 读 者 使 用 Docker Compose 或 者 Docker Stack， 可 以 在 service 对 
象 中 配置 重启 策略 ， 示 例如 下 。 


3.5” 


myservice: 


<Snip> 
restart_policy: 
condition: always | unless-stopped | on-failure 


7.2.10 ”Web 服 务 器 示例 


到 目前 为 止 ， 已 经 介绍 了 如 何 局 动 一 个 简单 的 容器 ， 并 与 其 进行 
交互 。 同 时 也 知道 了 如 何 停止 、 重 启 以 及 删除 一 个 容器 。 现 在 来 看 一 
个 Linux Web 服 务 器 示例 。 


在 该 示例 中 ， 会 使 用 到 我 用 于 Pluralsight 视 频 教程 网 站 中 的 一 个 镜 
像 。 这 个 镜像 会 在 8080 端 口 启动 一 个 相当 简单 的 Web 服 务 。 


使 用 docker container stop 以 及 docker container rm 
命令 清理 当前 系统 中 的 全 部 容器 ， 然 后 运行 下 面 的 docker 
container run 命令 。 


$ docker container run -d --name webserver -p 80:8080 \ 
nigelpoulton/pluralsight -docker-ci 


Unable to find image 'nigelpoulton/pluralsight-docker-ci:latest' 
locally 

latest: Pulling from nigelpoulton/pluralsight -docker-ci 
a3ed95caeb02: Pull complete 

3b231ed5aa2f: Pull complete 

7e4f9cd54d46: Pull complete 

929432235e51: Pull complete 

6899ef41c594: Pull complete 

Ob38fccdOdab: Pull complete 

Digest: sha256:7a6b0125fe7893e70dc63b2. ..9b12a28e2c38bd8d3d 
Status: Downloaded newer image for nigelpoulton/plur...docker- 
ci:latest 
6efal838cd51b92a4817e0e7483d103bf 72a7ba7f Fb5855080128d85043fef 21 


注意 ， 当 前 Shell 提 示 符 并 未 发 生变 化 。 这 是 因为 使 用 了 -d 参数 启 
动容 器 ， 并 在 后 台 运 行 。 这 种 后 台 启 动 的 方式 不 会 将 当前 终端 连接 到 
Bait A e 


该 示例 在 docker container run 命令 中 抛 出 了 一 些 额 外 的 参 
数 ， 一 起 来 快速 了 解 一 下 。 


已 经 知道 docker container run 会 启动 一 个 新 容器 ， 但 是 这 
次 使 用 - d 参数 替换 了 -it ° -d 表示 后 台 模 式 ， 告 知 容器 在 后 台 运 
行 。 

然后 为 容器 命名 ， 并 且 指 定 了 -p 80:8080 ° -p 参数 将 Docker 
主机 的 端口 映射 到 容器 内 。 本 例 中 ， 将 Docker 主 机 的 80 端 口 映 射 到 了 
容器 内 的 8080 端 口 。 这 意味 着 当 有 流量 访问 主机 的 80 端 口 的 时 候 ， 流 
量 会 直接 映射 到 容器 内 的 8080 端 口 。 之 所 以 如 此 是 因为 当前 使 用 的 镜 
像 ， 其 Web 服务 监听 了 8080 端 口 。 这 意味 着 容器 启动 时 会 运行 一 个 
Web 服 务 ， 监 听 8080 端 口 。 


最 终 ， 命 令 中 还 指定 Docker 所 使 用 的 镜像 : 
nigelpoulton/pluralsight-docker-ci。 这 个 镜像 不 一 定 保 
持 更 新 ， 并 且 可 能 存在 缺陷 。 


使 用 docker container ls 命令 可 以 查看 当前 运行 的 容器 以 
及 端口 的 映射 情况 。 端 口 信 息 按照 host-port:container-port 
的 格式 显示 ， 明 确 这 一 点 很 重要 。 


$ docker container 1s 
CONTAINER ID COMMAND STATUS PORTS 


NAMES 


6efai838cd51 /bin/sh -c... Up 2 mins 0.0.0.0:80->8080/tcp 
webserver 


为 了 提高 可 读 性 ， 


下 输出 中 的 部 分 列 并 未 展示 。 


WERE SÍT, wO ERATED, a ONRET a ar KR PA 
Bar, 需要 在 浏览 器 中 指定 Docker 主 机 的 也 地 址 或 DNS 名 称 ， 端 口号 
是 80。 图 7.4 展 示 了 由 容 妖 服务 提供 的 网 页 。 


2 -| 口 
Pluralsight Rocks 


c so 


Yo Pluralsighters!!! 


Click the button below to head over to my podcast... 


图 7.4 由 容器 服务 提供 的 网 页 


docker container stop »docker container pause ` 
docker container start 和 docker container rm 命令 同样 


适用 于 容器 。 同 时 ， 持 久 性 的 规则 也 适用 于 容器 一 一 停止 或 暂 集 容器 
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7.2.11 查看 容器 详情 


在 前 面 的 示例 当中 ， 读 者 可 能 发 现 当 运行 docker container 
run 命令 的 上 时候， 并 没有 指定 容器 中 的 具体 应 用 。 但 是 容器 却 启动 了 
一 个 简单 的 Web 服 务 。 这 是 如 何 发 生 的 ? 


当 构 建 Docker 镜 像 的 上 时候， 可 以 通过 骨 入 指令 来 列 出 希望 容器 运 
行 时 启动 的 默认 应 用 。 如 果 运 行 docker image inspect 命令 来 查 
的 镜像 ， 残 能 看 到 容器 启动 时 将 要 运行 的 应 用 列表 


$ docker image inspect nigelpoulton/pluralsight -docker-ci 


"Tat : 
"sha256: 07e574331ce3768f 30305519. . .49214bf3020ee69bba1", 
"RepoTags": [ 
"nigelpoulton/pluralsight -docker-ci:latest" 


<Snip> 


], 

"Cmd": [ 
"/bin/sh", 
"c" 


"#(nop) CMD [\"/bin/sh\" \"-c\" \"cd /sre \u0026\u0026 


.app.js\"]" 


为 了 方便 阅读 ， 仅 截取 输出 内 容 中 我 们 感 兴趣 的 部 分 。 


Cmd 一 项 中 展示 了 容 需 将 会 执行 的 命令 或 应 用 ， 除 非 在 局 动 的 时 
候 读者 指定 另外 的 应 用 。 如 有 果 去 挥 示例 脚本 中 的 转 义 字符 ， 可 以 得 到 


这 样 的 命令 : /bin/sh -c "cd /src && node ./app.js °ix 
是 基于 该 镜像 的 容器 会 默认 运行 的 应 用 。 

在 构建 镜像 时 指定 默认 命令 是 一 种 很 普遍 的 做 法 ， 因 为 这 样 可 以 
人 简化 容 句 的 启动。 这 也 为 镜像 指定 了 默认 的 行为 ,并且 从 侧面 阐述 了 
镜像 的 用 途 可 以 通过 Inspect 镜 像 的 方式 来 了 解 所 要 运行 的 应 用 。 


本 章 示例 到 此 为 止 。 接 下 来 了 解 一 种 快速 清理 系统 的 方式 。 
7.2.12 ”快速 清理 


接 下 来 了 解 一 种 简单 旦 快速 的 清理 Docker 主 机 上 全 部 运行 容器 的 
方法 。 有 襄 在 和 完 ， 这 种 处 理 方式 会 强制 删除 所 有 的 容器 ， 并 且 不 会 给 
容器 完成 清理 的 机 会 。 这 种 操作 一 定 不 能 在 生产 环境 系统 或 者 运行 着 
重要 容器 的 系统 上 执行 。 


在 Docker 主 机 的 Shel 中 运行 下 面 的 命令 ， 可 以 删除 全 部 容器 。 


$ docker container rm $( 


docker container ls -aq) 


-f 
6efa1838cd51 


在 本 例 中 ， 因 为 只 有 一 个 运行 中 的 容器 ， 所 以 只 有 一 个 容器 被 删 
BR (6efa1838cd51) 。 但 是 该 命令 的 工作 方式 ， 就 跟前 面 章 节 中 用 于 
删除 菜 台 Docker 主 机 上 全 部 容 絮 的 命令 rm $(docker image ls - 
q) 一 样 ，docker container rm 命令 会 删除 容器 。 如 果 将 
$(docker container ls -ad) 作为 参数 传递 给 docker 
container rm 命令， 等 价 于 将 系统 中 每 个 容器 的 ID 传 给 该 命令 。- 
f 标识 表示 强制 执行 ， 所 以 即使 是 处 于 运行 状态 的 容器 也 会 被 删除 。 
接 下 来 ， 无 论 是 运行 中 还 是 停止 的 容器 ， 都 会 被 删除 并 从 系统 中 移 


AN 


除 。 


Sak 
= 


上 面 的 命令 在 Windows Docker 主 机 的 PowerShell 终 端 内 同样 生 


7.3 ”容器 -命令 


e docker container rm 会 删除 停止 运行 的 容器 。 可 以 通过 容 


docker container run 是 启动 新 容器 的 命令 。 该 命令 的 最 简 
形式 接收 镜像 和 命令 作为 参数 。 镜 像 用 于 创建 容器 ， 而 命令 则 是 
希望 容器 运行 的 应 用 e docker container run -it 
ubuntu /bin/bash 命令 会 在 前 台 启 动 一 个 Ubuntu 容 中 
行 Bash Shell 。 

Ctr1-PQ 会 断 开 Shell 和 容器 终端 之 间 的 链接 ， 并 在 退出 后 保持 容 
器 在 后 台 处 于 运行 (UP) 状态 。 

docker container 1s 用 于 列 出 所 有 在 运行 (UP) 状态 的 容 
ax ° WRH -a 标记 ， 还 可 以 看 到 处 于 停止 (Exited) 状态 的 容 


docker container exec 允许 用 户 在 运行 状态 的 容器 中 ， 启 
动 一 个 新 进程 。 该 命令 在 将 Docker 主 机 Shell 连 接 到 一 个 运行 中 容 
器 终端 时 非常 有 用 。docker container exec -it 
<container-name or container-id> bash 命令 会 在 容器 
内 部 局 动 一 个 Bash Shell 进 程 ， 并 连接 到 该 Shell。 为 了 使 该 命令 生 
效 ， 用 于 创建 容器 的 镜像 必须 包含 Bash Shell 。 


。 docker container stop 命令 会 停止 运行 中 的 容器 ， 并 将 状 


态 置 为 EXxited(9) 。 该 命令 通过 发 送 SIGTERM 信 号 给 容器 内 
PID 为 1 的 进程 达到 目的 。 如 果 进 程 没 有 在 10s 之 内 得 到 清理 并 停止 
运行 ， 那 么 会 接着 发 送 SIGKILL 信 和 号 来 强制 停止 该 容器 。docker 
container stop 可 以 接收 容 絮 ID 以 及 容 絮 名 称 作为 参数 。 


e docker container start 会 重启 处 于 停止 (Exited) 状态 的 


容器 。 可 以 在 docker container start 命令 中 指定 容器 的 名 
称 或 者 ID ° 


FF 


器 名 称 或 者 ID 来 指定 要 册 除 的 容 右 。 推 荐 百 多 使 用 docker 


container stop 命令 停止 容 希 ， 然 后 使 用 docker 
container rm 来 完成 删除 。 


e docker container inspect 命令 会 显示 容器 的 配置 细节 和 


运行 时 信息 。 该 命令 接收 容 央 名 称 和 容 亏 ID 作为 主要 参数 。 


7.4 REMA 


在 本 革 中 ， 对 容器 和 虚拟 机 两 种 模型 进行 了 比较 。 其 中 重点 关注 
了 虚拟 机 模型 的 OS tax 问 题 ， 并 且 分 析 了 虚拟 机 模型 相对 于 物理 机 模 
型 的 巨大 优势 ， 以 及 容器 模型 如 何 能 够 融 来 更 加 显著 的 提升 。 


本 章 中 还 介绍 了 如 何 使 用 docker container run 命令 启动 一 
oe 并 且 对 比 了 前 台 和 后 台 运 行 容器 在 交互 方面 的 差异 


此 外 还 了 解 了 杀 死 容 器 中 PID 为 1 的 进程 会 杀 死 容器 。 同 时 还 了 解 
了 如 何 启动 、 停 止 以 及 删除 容器 。 


在 本 章 最 后 介绍 了 docker container inspect 命令 ， 该 命 
令 可 以 查看 容器 元 数据 的 细 市 信息 。 


目前 看 起 来 还 不 错 ! 


Bem WANA ast 


Docker O Ew Ae Se Aas, HERE Ate 


中 实际 运行 。 


将 应 用 整合 到 容器 中 并 且 运 行 起 来 的 这 个 过 程 ， 称 为 “ 容 硕 
4%” (Containerizing) ， 有 时 也 叫 作 *Docker 化 ” ene 


本 章 将 逐步 介绍 容器 化 一 个 简单 的 Linux Web 应 用 的 过 程 。 如 果 读 
者 没有 一 个 Linux 的 Docker 环 境 来 跟 进 练习 ， 那 么 可 以 免费 使 用 Play 
With Docker ° RIEAN aast] F Play With Docker 的 页 面 ， 并 启动 若 
Linux Docker 节 点 即 可 。 这 是 我 最 喜欢 的 启动 和 练习 Docker 的 方式 。 


本 章 的 内 容 主要 分 为 3 个 部 分 。 


下 面 束 开始 本 章 的 内 容 吧 | 


a 


容器 是 为 应 用 而 生 ! 具体 来 说 ， 容 器 能 够 简化 应 用 的 构建 、 部 轩 
和 运行 过 得 

完整 的 应 用 容器 化 过 程 主要 分 为 以 下 几 个 步骤 。 

(1) 编写 应 用 代码 。 


(2) 创建 一 个 Dockerfile， 其 中 包括 当前 应 用 的 描述 、 依 赖 以 及 
该 如 何 运行 这 个 应 用 。 


(3) 对 该 Dockerfile 执 行 docker image build 命令 


(4) 等 竺 Docker 将 应 用 程序 构建 到 Docker 镜 像 中 。 


一 旦 应 用 容器 化 完成 〈 即 应 用 被 打包 为 一 个 Docker 镜 像 ) ， 就 能 
以 镜像 的 形式 交付 并 以 容器 的 方式 运行 了 。 


图 8.1 展 示 了 上 述 步 骤 。 
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作为 容器 /服务 运行 Docker Registry/ 


Docker hosts 
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图 8.1 


构建 


容器 化 的 基本 过 程 


8.2 ”应 用 的 容 咒 化 一 一 详解 


本 小 市 内 容 主 要 分 为 以 下 几 护 。 


。 单 体 应 用 容 右 化 。 


。 生产 环境 中 的 多 阶段 构建 。 


。 最 佳 实践 。 


8.2.1 单 体 应 用 容器 化 


在 接 下 来 的 内 容 中 ， 本 书 会 回 读者 逐步 展示 如 何 将 一 个 简单 的 单 
W Node.js Web 应 用 容 船 化。 如 果 是 Windows 操 作 系统 的 话 ， 处 理 过 


程 也 是 大 同 小 异 。 在 本 书 接 下 来 的 版 本 中 ， 会 增加 一 个 Windows 环 境 
下 单 体 应 用 容 右 化 的 示例 。 


接 下 来 通过 以 下 几 个 步骤 ， 来 介绍 具体 的 过 程 。 

(1) 获取 应 用 代码 。 

(2) 分 析 Dockerfile ° 

(3) 构建 应 用 镜像 。 

(4) 运行 该 应 用 。 

(5) 测试 应 用 。 

(6) 容器 应 用 化 细节 。 

(7) 生产 环境 中 的 多 阶段 构建 。 

(8) 最 佳 实践 。 

虽然 本 章 将 指导 读者 完成 单 节 点 应 用 的 容器 化 ， 但 在 接 下 来 的 章 
节 中 读者 可 以 了 解 到 如 何 采用 Docker Compose 去 完成 多 节点 应 用 容器 


ge 本 书 会 继续 指导 读者 使 用 Docker Stack 去 处 理 更 复杂 应 用 的 


1. 获取 应 用 代码 


应 用 代码 可 以 从 我 的 GitHub 主 页 获取 ， 读 者 需要 从 GitHub 将 代码 
克隆 到 本 地 。 


克隆 操作 会 创建 一 个 名 为 psweb 的 文件 夹 。 可 以 进入 该 文件 夹 ， 
并 查看 其 中 的 内 容 。 


$ cd psweb 


$ 1s -1 
total 28 
-rw-r--r-- 1 root root 341 Sep 29 16:26 app.js 


rw-r--r-- 1 root root 216 Sep 29 16:26 circle.yml 
-rw-r--r-- 1 root root 338 Sep 29 16:26 Dockerfile 
rw-r--r-- 1 root root 421 Sep 29 16:26 package.json 
-rw-r--r-- 1 root root 370 Sep 29 16:26 README.md 


drwxr-xr-x 2 root root 4096 Sep 29 16:26 test 
drwxr-xr-x 2 root root 4096 Sep 29 16:26 views 


该 目录 下 包含 了 全 部 的 应 用 源码 ， 以 及 包含 界面 和 单元 测试 的 子 
目 孙 。 这 个 应 用 结构 非常 简单 ， 读 者 可 以 很 方便 地 理解 其 源码 内 容 。 
本 章 和 暂时 不 会 涉及 单元 测试 相关 的 内 容 。 


目前 应 用 的 代码 已 就 绕 ， 接 下 来 分 析 一 下 Dockerfile 的 具体 内 容 。 
2. 分 析 Dockfile 

在 代码 目录 当中 ， 有 个 名 称 为 Dockerfile 的 文件 。 这 个 文件 包含 
了 对 当前 应 用 的 描述 ， 并 且 能 指导 Docker 完 成 镜像 的 构建 。 

在 Docker 当 中 ， 包 含 应 用 文件 的 目录 通常 被 称 为 构建 上 下 文 


(Build Context) 。 通 党 将 Dockerfile 放 到 构建 上 下 文 的 根 目录 下 。 


另外 很 重要 的 一 点 是 ， 文 件 开头 字母 是 大 写 D ， 这 里 是 一 个 单 
1H] o {Z “dockerfile” “Docker file” 这 种 写法 都 是 不 允许 的 。 


接 下 来 了 解 一 下 Dockerfile 文 件 当中 都 包含 哪些 具体 内 容 。 


$ cat Dockerfile 


FROM alpine 

LABEL maintainer="nigelpoulton@hotmail.com" 
RUN apk add --update nodejs nodejs-npm 
COPY . /src 

WORKDIR /src 

RUN npm install 

EXPOSE 8080 

ENTRYPOINT ["node", "./app.js"] 


fe) 


Dockerfile 主 要 包括 两 个 用 途 


e 对 当前 应 用 的 描述 。 
。 人 旋 用 的 容器 化 (创建 一 个 包含 当前 应 用 的 镜 


不 要 因 Dockerfile 就 是 一 个 摘 述 文件 而 对 其 有 所 轻视 ! Dockerfile 
能 实现 开发 和 部 署 两 个 过 程 的 无 颖 切换 。 同 时 Dockerfile 还 能 帮助 新 手 
快速 熟悉 这 个 项 目 。Dockerfile 对 当前 的 应 用 及 其 依赖 有 一 个 清晰 准确 
的 描述 ， 并 且 非 党 容易 阅读 和 理解 。 因 此 ， 要 像 重 视 你 的 代码 一 样 重 
视 这 个 文件 ， 并 且 将 它 纳入 到 源 控 制 系统 当中 。 


下 面 是 这 个 文件 中 的 一 些 关 键 步骤 概述 : 以 alpine 镜像 作为 当 
前 镜像 基础 ， 指 定 维护 者 (maintainer) 
为 “nigelpoultion@hotmail.com”， 安 装 Node ,js 和 NPM ， 将 应 用 的 代 
码 复 制 到 镜像 当中 ， 设 置 新 的 工作 目录 ， 安 装 依赖 包 ， 记 录 应 用 的 网 
络 端口 ， 最 后 将 app .js 设置 为 默认 运行 的 应 用 。 


具体 分 析 一 下 每 一 步 的 作用 。 


每 个 Dockerfile 文 件 第 一 行 都 是 FROM 指令 。FROM 指令 指定 的 镜 
像 ， 会 作为 当前 镜像 的 一 个 基础 镜像 层 ， 当 前 应 用 的 剩余 内 容 会 作为 
新 增 镜像 层 FAS SEs HL UZ 之 上 。 本 例 中 的 应 用 基于 Linux 操 作 系 

所 以 在 FROM 指令 当中 所 引用 的 也 是 一 个 Linux 基 础 镜像 ， 如 果 读 
E 用 是 一 个 基于 Windows 操 作 系统 的 应 用 ， 就 需要 指定 
一 个 像 microsoft/aspnetcore-build 这 样 的 Windows 基 础 镜像 


Ta 
截至 目前 ， 基 础 镜像 的 结构 如 图 8.2 所 示 。 


图 8.2 ”基础 镜像 的 结构 


接 下 来 ，Dockerfile 中 通过 标签 (LABLE) 方式 指定 了 当前 镜像 的 
维护 者 为 “nigelpoulton@hotmail. com”。 每 个 标签 其 实 是 一 个 键 值 对 
(Key-Value) ， 在 一 个 镜像 当中 可 以 通过 增加 标签 的 方式 来 为 镜像 添 


J RE MCR ° MIEP (eB BTN a RE a ee 
沟通 途径 ， 这 是 一 种 值得 提倡 的 做 法 。 


本 书 例子 中 的 镜像 并 不 会 长 期 维护 ， 这 里 只 是 为 了 向 读者 展示 标签 的 最 佳 使 用 


式 


RUN apk add --update nodejs nodejs-npm 指令 使 用 
alpine 的 apk 包 管 理 器 将 nodejs 和 nodejs-npm 安装 到 当前 镜像 
之 中 。RUN 指令 会 在 FROM 指定 的 alpine 基础 镜像 之 上 ， 新 建 一 个 
镜像 层 来 存储 这 些 安 朔 内容。 当前 镜像 的 结构 如 图 8.3 所 示 。 


COPY. / src 指令 将 应 用 相关 文件 从 构建 上 下 文 复制 到 了 当前 
镜像 中 ， 并 且 新 建 一 个 镜像 层 来 存储 。COPY 执行 结束 之 后 ， 当 前 镜 
像 共 包含 3 层 ， 如 图 8.4 所 示 。 


panna an | 。 a 8 


‘| RUN apk add npm... | 镜像 层 
we | 
图 8.3 ”当前 镜像 的 结构 

panne es i 
| COPY . /src 8 镜像 层 


镜像 层 


'| RUN apk add npm... | 


镜像 层 


图 8.4 当前 的 3 层 镜像 


下 一 步 ，Dockerfile 通 过 WORKDIR 指令 ， 为 Dockerfile 中 尚未 执行 
的 指令 设置 工作 目 永 。 该 目 永 与 镜像 相关 ， 并 且 会 作为 元 数据 记录 到 
镜像 配置 中 ， 但 不 会 创建 渐 的 镜像 层 。 


然后 ，RUN npm install 指令 会 根据 package,json 中 的 配 
置信 息 ， 使 用 npm 来 安装 当前 应 用 的 相关 依赖 包 。npm 命令 会 在 前 文 
设置 的 工作 目录 中 执行 ， 并 且 在 镜像 中 新 建 镜像 层 来 保存 相应 的 依赖 
文件 。 目 前 镜像 一 共 包 含 4 层 ， 如 图 8.5 所 示 。 


SE Te, 站 SS i 

| RUN npm install... 镜像 层 
COPY . /src i< 镜像 层 
'| RUN apk add npm... E 镜像 层 


图 8.5 ”当前 的 4 层 镜像 


因为 当前 应 用 需要 通过 TCP 端 口 8080 对 外 提供 一 个 Web 服务， 所 
以 在 Dockerfile 中 通过 EXPOSE 8080 指令 来 完成 相应 端口 的 设置 。 这 
个 配置 信息 会 作为 镜像 的 元 数据 被 保存 下 来 ， 并 不 会 产生 新 的 镜像 
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最 终 ， 通 过 ENTRYPOINT 指令 来 指定 当前 镜像 的 入 口 程序 。 
ENTRYPOINT 指定 的 配置 信息 也 是 通过 镜像 元 数据 的 形式 保存 下 来 ， 
而 不 是 新 增 镜像 层 。 


3. 容器 化 当前 应 用 /构建 具体 的 镜像 


到 目前 为 止 ， 读 者 应 该 已 经 了 解 基本 的 原理 和 流程 ， 反 下 来 是 时 
候 尝 试 构建 自己 的 镜像 了 |! 

下 面 的 命令 会 构建 并 生成 一 个 名 为 web : latest 的 镜像 。 命 令 最 
aa (.) 表示 Docker 在 进行 构建 的 时 候 ， 使 用 当前 目录 作为 构建 上 


一 定 要 在 命令 最 后 包含 这 个 点 ， 并 且 在 执行 命令 前 ， 读 者 要 确认 
当前 目录 是 psweb (包含 Dockerfile 和 应 用 代码 的 上 日 录 ) ° 


ocker image build -t web:latest . << don't forget the period 


$ 
(. 


d 
) 


Sending build context to Docker daemon 76.29kB 
Step 1/8 : FROM alpine 

latest: Pulling from library/alpine 
ff3a5c916c92: Pull complete 

Digest: sha256:7df6db5aa6...@bedab9b8df6b1ico 
Status: Downloaded newer image for 


alpine: latest 
---> 76da55c8019d 


Step 8/8 : ENTRYPOINT node ./app.js 
---> Running in 13977a4f3b21 
---> fc69fdc4c18e 
Removing intermediate container 13977a4f3b21 
Successfully built fc69fdc4c18e 
Successfully tagged web: latest 


命令 执行 结束 后 ， 检 查 本 地 Docker 镜 像 库 是 否 包含 了 刚才 构建 的 


$ docker image ls 
REPO TAG IMAGE ID CREATED 


web latest fc69fdc4c18e 10 seconds ago 


Re, NAAR OAR T ! 
读者 可 以 通过 docker image inspect web: latest 来 确认 


刚刚 构建 的 镜像 配置 是 否 正 确 。 这 个 命令 会 列 出 Dockerfile 中 设置 的 所 
有 配置 项 。 


4. 推送 镜像 到 仓库 


在 创建 一 个 镜像 之 后 ， 将 其 保存 在 一 个 镜像 仓库 服务 是 一 个 不 错 
的 方式 。 这 样 存储 镜像 会 比较 安全 ， 并 且 可 以 被 其 他 人 访问 使 用 。 


Docker Hub 怠 是 这 样 的 一 个 开放 的 公共 镜像 仓库 服务 ， 并 且 这 也 是 
docker image push 命令 默认 的 推送 地 址 。 


在 推送 镜像 之 前 ， 需 要 先 使 用 Docker ID 登录 Docker Hub。 除 此 之 
外 ， 还 需要 为 竺 推送 的 镜像 打上 合适 的 标签 。 


接 下 来 本 书 会 介绍 如 何 登录 Docker Hub， 并 将 镜像 推送 到 其 中 。 
在 后 续 的 例子 中 ， 读 者 需要 用 目 己 的 Docker IDF RAH FHF Pt 


使 用 的 ID。 所 以 每 当 读者 看 到 “nigelpoulton” 时 ， 记 得 蔡 换 为 目 己 的 
Docker ID ° 


$ docker login 

Login with **your** Docker ID to push and pull images from Docker 
Hub... 

Username: nigelpoulton 


Password: 
Login Succeeded 


推送 Docker 镜 像 之 前 ， 读 者 还 需要 为 镜像 打 标 签 。 这 征 因 为 
Docker 在 镜像 推送 的 过 程 中 需要 如 下 信息 。 


。 Registry (镜像 仓库 服务 ) 
e Repository (镜像 仓库 ) 
。 Tag (镜像 标签 ) 


读者 无 须 为 Registry 和 Tag 指 定 值 。 当 读者 没有 为 上 述 信 息 指 定 具 
体 值 的 时 候 ，Docker 会 默认 Registry=docker .io、Tag=latest 
。 但 是 Docker 并 没有 给 Repository 提供 默认 值 ， 而 是 从 被 推送 镜像 
中 的 REPOSITORY 属性 值 获 取 。 这 一 点 可 能 不 好 理解 ， 下 面 会 通过 一 
个 完整 的 例子 来 介绍 如 何 问 Docker Hub 中 推送 一 个 镜像 。 


在 本 章节 前 面 的 例子 中 执行 了 docker image ls 命令 。 在 该 命 
令 对 应 的 输出 内 容 中 可 以 看 到 ， 镜 像 仓 库 的 名 称 是 web。 这 意味 着 执 
行 docker image push 命令 ,会 尝试 将 镜像 推送 到 
docker .io/web: latest 中 。 但 是 其 实 nigelpoulton 这 个 用 户 
并 没有 web 这 个 镜像 仓库 的 访问 权限 ， 所 以 只 能 尝试 推送 到 


nigelpoulton 这 个 二 级 命名 空间 (Namespace) 之 下 。 因 此 需要 使 
用 nigelpoulton 这 个 ID ， 为 当前 镜像 重新 打 一 个 标签 。 


$ docker image tag web:latest nigelpoulton/web: latest 


为 镜像 打 标 签 命令 的 格式 是 docker image tag <current- 
tag> <new-tag> ł AEA Fe ATS REBUT ARES 
并 且 不 需 要 覆盖 已 经 存在 的 标签 


再 次 执行 docker image 1s 命令 ， 可 以 看 到 这 个 镜像 现在 有 了 
两 个 标签 ， 其 中 一 个 包含 Docker ID nigelpoulton 。 


$ docker image ls 
REPO TAG IMAGE ID CREATED SIZE 
web latest fc69fdc4c18e 10 secs ago 64.4MB 


nigelpoulton/web latest fc69fdc4c18e 10 secs ago 64.4MB 


现在 将 该 镜像 推送 到 Docker Hub ° 


$ docker image push nigelpoulton/web: latest 


The push refers to repository [docker.i0/nigelpoulton/web ] 
2444b4ec39ad: Pushed 


ed8142d2affb: Pushed 


d77e2754766d: Pushed 
cd7100a72410: Mounted from library/alpine 
latest: digest: sha256:68c2dea730...f8cf7478 size: 1160 


图 8.6 展 示 了 Docker 如 何 确定 镜像 所 要 推送 的 目的 仓库 。 


默认 值 默认 值 


docker.io/ nigelpoulton/web: latest 
sr 


docker image ls 
命令 显示 的 “REPOSITORY” 值 


图 8.6 确定 镜像 所 要 推送 的 目的 仓库 


因为 权限 问题 ， 读 者 需要 把 上 面 例子 中 出 现 的 ID (nigelpoulton) 
替换 为 自己 的 Docker ID， 才 能 进行 推送 操作 。 


在 本 间接 下 来 的 例子 当中 ， 本 书 将 使 用 web :latest 这 个 标签 
(两 个 标签 中 较 短 的 一 个 ) 。 


5. 运行 应 用 程序 


前 文中 容 右 化 的 这 个 应 用 程序 其 实 很 简单 ， 从 app .js 这 个 文件 
A 
F e 


下 面 的 命令 会 基于 web :latest 这 个 镜像 ， 启 动 一 个 名 为 c1 的 
容器 。 该 容器 将 内 部 的 8080 端口 与 Docker 主 机 的 80 端口 进行 映射 。 
这 意味 读者 可 以 打开 一 个 浏览 器 ， 在 地 址 栏 输入 Docker 主 机 的 DNS 名 
称 或 者 IP 地 址 ， 然 后 就 能 直接 访问 这 个 Web 应 用 了 。 


如 果 Docker 主 机 已 经 运行 了 某 个 使 用 80 端 口 的 应 用 程序 ， 读 者 可 以 在 执行 
docker container run 命令 时 指定 一 个 不 同 的 映射 端口 。 例 如 ， 可 以 使 用 -p 
5000:8000 参数 ， 将 Docker 内 部 应 用 程序 的 8080 端 口 映 射 到 主机 的 5000 端 口 。 


$ docker container run -d --name c1 \ 
-p 80:8080 \ 


web: latest 


-d 参数 的 作用 是 让 应 用 程序 以 守护 线程 的 方式 在 后 台 运 行 。-p 
80:8080 参数 的 作用 是 将 主机 的 80 端 口 与 容器 内 的 8080 端 口 进行 映 


射 。 


接 下 来 验证 一 下 程序 是 否 真 的 成 功 运行 ， 并 且 对 外 提供 服务 的 端 
口 是 否 正 芝 工 作 。 


$ docker container 1s 


ID IMAGE COMMAND STATUS PORTS 


49. . web:latest "node ./app.js" UP 6 secs 0.0.0.0:80- 
>8080/tcp 


为 了 方便 阅读 ， 本 书 只 截取 了 命令 输出 内 容 的 一 部 分 。 从 上 面 的 
输出 内 容 中 可 以 看 到 ， 容 器 已 经 正常 运行 。 需 要 注意 的 是 ，80 端 口 已 
经 成 功 上 映射 到 了 8080 之 上 ， 并 且 任 意外 部 主机 (0.0.0.0:80) 均 可 
以 通过 80 端 口 访问 该 容器 。 


6. APP 测 试 


打开 浏览 器 ， 在 地 址 栏 输入 DNS 名 称 或 者 IP 地 址 ， 束 能 访问 到 正 
在 运行 的 应 用 程序 了 。 读 者 可 以 看 到 图 8.7 所 示 的 界面 。 


= (6 © ec2-54-229-110-187.eu-west-1.compute.amazonaws.co} 


Hello Pluralsighters!!! 


Simple web app that is not patched and not safe!! 


图 8.7 正在 运行 的 应 用 程序 界面 
如 果 没 有 出 现 这 样 的 界面 ， 答 试 执 行 下 面 的 检查 来 确认 原因 所 


在 


。 使 用 docker container ls 指令 来 确认 容器 已 经 启动 并 且 正 
常 运行 。 容 器 名 称 是 c1 ， 并 且 从 输出 内 容 中 能 看 到 
0.0.0.0:80->8080/tcp ° 

© 确认 防火 墙 或 者 其 他 网 络 安全 设置 没有 阻止 访问 Docker 主 机 的 80 
端口 。 


如 此 ， 应 用 程序 已 经 容器 化 并 成 功 运行 了 ， 庆 祝 一 下 吧 ! 
7. 详 述 

到 现在 为 止 ， 读 者 应 当成 功 完 成 一 个 示例 应 用 程序 的 容 絮 化 。 下 
面 是 其 中 一 些 细节 部 分 的 回顾 和 总 结 。 

Dockerfile 中 的 注释 行 ， 都 是 以 # 开 头 的 。 


人际 注 释 之 外 ， 每 一 行 都 是 一 条 指令 (Instruction) 。 指 令 的 格式 是 
指令 参数 如 下 。 


INSTRUCTION argument 


指令 是 不 区 分 大 小 写 的 ， 但 是 通常 都 采用 大 写 的 方式 。 这 样 
Dockerfile 的 可 读 性 会 高 一 些 。 


Docker image build 命令 会 按 行 来 解析 Dockerfile 中 的 指令 并 
顺序 执行 。 


部 分 指令 会 在 镜像 中 创建 新 的 镜像 层 ， 其 他 指令 只 会 增加 或 修改 
镜像 的 元 数据 信息 。 


在 上 面 的 例子 当中 ， 新 增 镜 像 层 的 指令 包括 FROM 、RUN 以 及 
COPY ， 而 新 增 元 数据 的 指令 包括 EXPOSE + WORKDIR ` ENV 以 及 
ENTERPOINT 。 关 于 如 何 区 分 命令 是 否 会 新 建 镜 像 层 ， 一 个 基本 的 原 
则 是 ， 如 果 指 令 的 作用 是 向 镜像 中 增添 新 的 文件 或 者 程序 ， 那 么 这 条 
指令 就 会 新 建 镜像 层 ， 如 果 只 是 告诉 Docker 如 何 完 成 构建 或 者 如 何 运 
行 应 用 程序 ， 那 么 就 只 会 增加 镜像 的 元 数据 。 


可 以 通过 docker image history 来 查看 在 构建 镜像 的 过 程 中 
都 执行 了 哪些 指令 。 


$ docker image history web:latest 


IMAGE CREATED BY SIZE 
fc6..18e /bin/sh -c #(nop) ENTRYPOINT ["node" "./a... OB 


334. .bf0 /bin/sh -c #(nop) EXPOSE 8080/tcp OB 


b27..eae /bin/sh -c npm install 14.1MB 
932. .749 /bin/sh -c #(nop) WORKDIR /src OB 
052. .2dc /bin/sh -c #(nop) COPY dir:2a6ed1703749e80... 22.5kB 


cid..81f /bin/sh -c apk add --update nodejs nodejs-npm 46.1MB 


336. .b92 /bin/sh -c #(nop) LABEL maintainer=nigelp... OB 
3fd..f02 /bin/sh -c #(nop) CMD ["/bin/sh"] OB 
/bin/sh -c #(nop) ADD file:093f0723fa46f6c... 4.15MB 


在 上 面 的 输出 内 容 当 中 ， 有 两 点 是 需要 注意 的 。 
首先 ， 每 行内 容 都 对 应 了 Dockerfile 中 的 一 条 指令 (顺序 是 自 下 而 


E) ° CREATE BY 这 一 列 中 还 展示 了 当前 行 具 体 对 应 Dockerfile 中 的 
哪 条 指令 。 


其 次 ， 从 这 个 输出 内 容 中 ， 可 以 观察 到 只 有 4 条 指令 会 新 建 镜像 层 
(就 是 那些 SIZE 列 对 应 的 数值 不 为 零 的 指令 ) ， 分 别 对 应 Dockerfile 中 
的 FROM ` RUN 以 及 COPY 指令 。 虽 然 其 他 指令 看 上 去 跟 这 些 新 建 镜像 
层 的 指令 并 无 区 别 ， 但 实际 上 它们 只 在 镜像 中 新 增 了 元 数据 信息 。 这 
o 以 看 起 来 没有 区 别 ， 是 因为 Docker 对 之 前 构建 镜像 层 方式 


读者 可 以 通过 执行 docker image inspect 指令 来 确认 确实 只 
有 4 个 层 被 创建 了 。 


$ docker image inspect web:latest 
<Snip> 


}, 
"RootFS": { 
"Type": "layers", 


"Layers": [ 
"sha256:cd7100...1882bd56d263e02b6215", 
"sha256:b3f88e. ..cae0e290980576e24885", 
"sha256:3cfa21...cc819ef5e3246ec4fe16", 
"sha256:4408b4...d52c731ba0b205392567" 


使 用 FROM 指令 引用 官方 基础 镜像 是 一 个 很 好 的 习惯 ， 这 有 是 因为 
官方 的 镜像 通常 会 遵循 一 些 最 佳 实践 ， 并 且 能 帮助 使 用 者 规避 一 些 已 
知 的 问题 。 除 此 之 外 ， 使 用 FROM 的 时 候选 择 一 个 相对 较 小 的 镜像 文 
件 通 单 也 能 避免 一 些 江 在 的 问题 。 


读者 也 可 以 观察 docker image build 命令 具体 的 输出 内 容 ， 
了 解 镜像 构建 的 过 程 。 在 下 面 的 片段 中 ， 可 以 看 到 基本 的 构建 过 程 
是 ， 运 行 临时 容器 > 在 该 容器 中 运行 Dockerfile 中 的 指令 > 将 指令 运行 结 
果 保 存 为 一 个 新 的 镜像 层 > 删除 临时 容器 。 


Step 3/8 : RUN apk add --update nodejs nodejs-npm 
---> Running in e690ddca785f << Run inside of temp container 
fetch http://dl-cdn...APKINDEX. tar.gz 
fetch http://dl-cdn...APKINDEX. tar.gz 
(1/10) Installing ca-certificates (20171114-r0) 
<Snip> 


OK: 61 MiB in 21 packages 

---> c1d31d36b81f << Create new layer 
Removing intermediate container << Remove temp container 
Step 4/8 : COPY . /src 


8.2.22 ”生产 环境 中 的 多 阶段 构建 


对 于 Docker 镜 像 来 说 ， 过 大 的 体积 并 不 好 ! 


越 大 则 越 慢 ， 这 束 意 味 着 更 难 使 用 ， 而 且 可 能 更 加 脆弱 ， 更 容易 


鉴于 此 ，Docker 镜 像 应 该 尽量 小 。 对 于 生产 环境 镜像 来 说 ， 目 标 
是 将 其 缩小 到 仅 包含 运 行 应 用 所 必需 的 内 容 即 可 。 问 题 在 于 ， 生 成 较 


小 的 镜像 并 非 易 事 。 


例如 ， 不 同 的 Dockerfile 写 法 就 会 对 镜像 的 大 小 产生 显著 影响 。 常 
见 的 例子 是 ， 每 一 个 RUN 指 令 会 新 增 一 个 镜像 层 。 因 此 ， 通 过 使 用 && 
连接 多 个 命令 以 及 使 用 反 斜 村 A) 换行 的 方法 ， 将 多 个 命令 包含 在 
一 个 RUN 指 令 中 ， 通 常 来 说 是 一 种 值得 提倡 的 方式 。 这 并 不 难 掌 握 ， 
多 加 练习 即 可 。 


邦 一 个 问题 是 开发 者 通常 不 会 在 构建 完成 后 进行 清理 。 当 使 用 
RUN 执行 一 个 命令 时 ， 可 能 会 拉 取 一 些 构建 工具 ， 这 些 工 具 会 留 在 镜 
像 中 移交 至 生产 环境 。 这 是 不 合适 的 | 


有 多 种 方式 来 改善 这 一 问题 一 一 比如 常见 的 是 采用 建造 者 模式 
(Builder Pattern) 。 但 无 论 采 用 哪 种 方式 ， 通 常 都 需要 额外 的 培训 |， 
并 有 旦 会 增加 构建 的 复杂 度 。 


建造 者 模式 需要 至 少 两 个 Dockerfile SAT AN as aT 
用 于 生产 环境 。 首 先 需要 编写 Dockerfile.dev， 它 基于 一 个 大 型 基础 镜 
(R (Base Image) ， 拉 取 所 需 的 构建 工具 ， 并 构建 应 用 。 接 下 来 ， 需 
要 基于 Dockerfile.dev 构 建 一 个 镜像 ， 并 用 这 个 镜像 创建 一 个 容器 。 这 
时 再 编写 Dockerfile.prod， 它 基于 一 个 较 小 的 基础 镜像 开始 构建 ， 并 从 
刚才 创建 的 容器 中 将 应 用 程序 相关 的 部 分 复制 过 来 。 整 个 过 程 需要 编 
写 额 外 的 脚本 才能 串联 起 来 。 


这 种 方式 是 可 行 的 ， 但 是 比较 复杂 。 

多 阶段 构建 (Multi-Stage Build) 是 一 种 更 好 的 方式 ! 

多 阶段 构建 能 够 在 不 增加 复杂 性 的 情况 下 优化 构建 过 程 。 

下 面 介绍 一 下 多 阶段 构建 方式 。 

多 阶段 构建 方式 使 用 一 个 Dockerfile， 其 中 包含 多 个 FROM 指令 。 
每 一 个 FROM 指令 都 是 一 个 新 的 构建 阶段 (Build Stage) ， 并 且 可 以 
方便 地 复制 之 前 阶段 的 构件 。 


示例 源码 可 从 我 的 GitHub 主 页 中 atsea-sample-shopapp 仓 库 获 得 ， 
Dockerfile 位 于 app 目录 。 这 是 一 个 基于 Linux 系 统 的 应 用 ， 因 此 


只 能 运行 在 Linux 容 器 环境 上 。 


这 个 代码 库 是 从 dockersamples/atsea-sample-shop-app 
fork 过 来 的 ， 以 防 上 游 代码 库 被 删除 。 


Dockerfile 如 下 所 示 。 


FROM node:latest AS storefront 
WORKDIR /usr/src/atsea/app/react -app 
COPY react-app . 

RUN npm install 

RUN npm run build 


FROM maven:latest AS appserver 

WORKDIR /usr/src/atsea 

COPY pom.xml . 

RUN mvn -B -f pom.xml -s /usr/share/maven/ref/settings-docker. xml 
dependency 

\: resolve 

COPY . 


RUN mvn -B -s /usr/share/maven/ref/settings-docker.xml package - 
DskipTests 


FROM java:8-jdk-alpine AS production 

RUN adduser -Dh /home/gordon gordon 

WORKDIR /static 

COPY --from=storefront /usr/src/atsea/app/react-app/build/ . 
WORKDIR /app 

COPY --from=appserver /usr/src/atsea/target/AtSea-0.0.1- 
SNAPSHOT.jar . 

ENTRYPOINT ["java", "-jar", "/app/AtSea-0.0.1-SNAPSHOT. jar" ] 
CMD ["--spring.profiles.active=postgres" | 


首先 注意 到 ，Dockerfile 中 有 3 个 FROM 指令 。 每 一 个 FROM 指令 构 
成 一 个 单独 的 构建 阶段 。 各 个 阶段 在 内 部 从 0 开始 编号 。 不 过 ， 示 例 
中 针对 每 个 阶段 都 定义 了 便于 理解 的 名 字 。 


。 阶段 0 叫 作 storefront 。 
。 阶段 1 叫 作 appserver 。 
。 阶段 2 叫 作 production。 


storefront 阶段 拉 取 了 大 小 超过 600MB 的 node :latest 镜 
像 ， 然 后 设置 了 工作 目录， 复制 一 些 应 用 代码 进去 ， 然 后 使 用 2 个 


RUN 指 令 来 执行 npm 操作 。 这 会 生成 3 个 镜像 层 并 显著 增加 镜像 大 
小 。 指 令 执行 结束 后 会 得 到 一 个 比 原 镜像 大 得 多 的 镜像 ， 其 中 包含 许 
多 构建 工具 和 少量 应 用 程序 代码 。 


appserver 阶段 拉 取 了 大 小 超过 700MB 的 maven :latest i 
像 。 然 后 通过 2 个 COPY 指 令 和 2 个 RUN 指 令 生成 了 4 个 镜像 层 。 这 个 阶 
T A A 
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production 阶段 拉 取 java:8-jdk-alpine 镜像 ， 这 个 镜像 
大 约 150MB， 明 显 小 于 前 两 个 构建 阶段 用 到 的 node 和 maven 镜像 。 
这 个 阶段 会 创建 一 个 用 户 ， 设 置 工作 目 隶 ， 从 storefront 阶段 生成 
的 镜像 中 复制 一 些 应 用 代码 过 来 。 之 后 ， 设 置 一 个 不 同 的 工作 目录 ， 
然后 从 appserver 阶段 生成 的 镜像 中 复制 应 用 相关 的 代码 。 最 后 ， 
production 设置 当前 应 用 程序 为 容器 启动 时 的 主 程序 。 


重点 在 于 COPY --from 指令 ， 它 从 之 前 的 阶段 构建 的 镜像 中 仅 
复制 生产 环境 相关 的 应 用 代码 ， 而 不 会 复制 生产 环境 不 需要 的 构件 。 


还 有 一 点 也 很 重要 ， 多 阶段 构建 这 种 方式 仅 用 到 了 一 个 
Dockerfile， 并 且 docker image build 命令 不 需要 增加 额外 参数 。 


下面 演示 一 下 构建 操作 。 殉 隆 代码 库 并 切换 到 app 目录 ， 并 确保 
其 中 有 Dockerfile 。 


$ cd atsea-sample-shop-app/app 


$ ls -1 

total 24 

-rw-r--r-- 1 root root 682 Oct 1 22:03 Dockerfile 
-rw-r--r-- 1 root root 4365 Oct 1 22:03 pom.xml 
drwxr-xr-x 4 root root 4096 Oct 1 22:03 react-app 
drwxr-xr-x 4 root root 4096 Oct 1 22:03 src 


执行 构建 (这 可 能 会 花费 几 分 钟 ) 


$ docker image build -t multi:stage . 
Sending build context to Docker daemon 3.658MB 


Step 1/19 : FROM node:latest AS storefront 
latest: Pulling from library/node 
aai8ad1a0d33: Pull complete 
15a33158a136: Pull complete 
<Snip> 
Step 19/19 : CMD --spring.profiles.active=postgres 
---> Running in b4df9850f7ed 
---> 3dc0d5e6223e 
Removing intermediate container b4df9850f7ed 
Successfully built 3dc0d5e6223e 
Successfully tagged multi:stage 


示例 中 multi:stage 标签 是 自行 定义 的 ， 读 者 可 以 根据 自己 的 需要 和 规范 来 
外 定 标签 名 称 。 不 过 并 不 要 求 一 定 必须 为 多 阶段 构建 指定 标签 。 


f 


执行 docker image ls 命令 查看 由 构建 命令 拉 取 和 生成 的 镜 
Re 


$ docker image ls 


REPO TAG IMAGE ID CREATED 
node latest 9Yeaic3e33a0b days ago 
<none> <none> 6598db3cefaf mins ago 


maven latest cbf114925530 weeks ago 
<none> <none> d5b619b83d9e min ago 
java 8-jdk-alpine 3fd9dd82815c months ago 
multi stage 3dc0d5e6223e min ago 


输出 内 容 的 第 一 行 显示 了 在 storefront 阶段 拉 取 的 
node: latest 镜像 ， 下 一 行内 容 为 该 阶段 生成 的 镜像 (通过 添加 代 
码 ， 执 行 npm 安装 和 构建 操作 生成 该 镜像 ) 。 这 两 个 都 包含 许多 的 构 
建 工 具 ， 因 此 镜像 体积 非常 大 。 


第 3 一 4 行 是 在 appserver 阶段 拉 取 和 生成 的 镜像 ， 它 们 也 都 因 
为 包含 许多 构建 工具 而 导致 体积 较 大 。 


最 后 一 行 是 Dockerfile 中 的 最 后 一 个 构建 阶段 (stage2/production) 
生成 的 multi:stage 镜像 。 可 见 它 明显 比 之 前 阶段 拉 取 和 生成 的 镜 


像 要 小 。 这 是 因为 该 镜像 是 基于 相对 精简 的 java:8-jdk-alpine fm 
像 构建 的 ， 并 且 仅 添加 了 用 于 生产 环境 的 应 用 程序 文件 。 


最 终 ， 无 须 额 外 的 脚本 ， 仅 对 一 个 单独 的 Dockerfile 执 行 docker 
image build 命令 ， 殊 创建 了 一 个 精简 的 生产 环境 镜像 。 


多 阶段 构建 是 随 Docker 17.05 版 本 新 增 的 一 个 特性 ， 用 于 构建 精简 
的 生产 环境 镜像 。 


8.2.3 ”最 佳 实践 


在 结束 本 章 之 前 ， 介 绍 一 些 最 佳 实践 ， 当 然 本 市 无 意 罗列 所 有 的 
最 住 实践 。 


1. 利用 构建 缓存 


Docker 的 构建 过 程 利用 了 缓存 机 制 。 观 察 缓存 效果 的 一 个 方法 ， 
束 是 在 一 个 干净 的 Docker 主 机 上 构建 一 个 新 的 镜像 ， 然 后 再 重复 同样 
的 构建 。 第 一 次 构建 会 拉 取 基础 镜像 ， 并 构建 镜像 层 ， 构 建 过 程 需要 
化 费 一 定时 间 ;， 第 二 次 构建 几乎 能 够 立即 完成 。 这 就 古 因为 第 一 次 构 
建 的 内 容 (如 镜像 层 ) 能 够 被 缓存 下 来 ， 并 被 后 续 的 构建 过 程 复 用 。 


docker image build 命令 会 从 顶层 开始 解析 Dockerfile 中 的 指 
令 并 逐 行 执行 。 而 对 每 一 条 指令 ，Docker 都 会 检查 缓存 中 是 否 已 经 有 
与 该 指令 对 应 的 镜像 层 。 如 果 有 ， 即 为 缓存 命中 (Cache Hit) ， 并 且 
会 使 用 这 个 镜像 层 ， 如 果 没 有 ， 则 是 缓存 未 命中 (Cache Miss) , 
A o 缓存 命中 能 够 显著 加 快 构建 过 


下 面 通过 实例 演示 其 效果 。 
示例 用 的 Dockerfile 如 下 。 


FROM alpine 
RUN apk add --update nodejs nodejs-npm 
COPY . /src 


WORKDIR /src 

RUN npm install 

EXPOSE 8080 

ENTRYPOINT ["node", "./app.js"] 


第 一 条 指令 告诉 Docker 使 用 alpine :1atest 作为 基础 镜像 。 如 
果 主 机 中 已 经 存在 这 个 镜像 ， 那 么 构建 时 会 直接 跳 到 下 一 条 指令 ;如 
果 镜 像 不 存在 ， 则 会 从 Docker Hub (docker.io) 拉 取 。 


下 一 条 指令 (RUN apk...) 对 镜像 执行 一 条 命令 。 此 时 ， 


Docker 会 检查 构建 缓存 中 是 否 存在 基于 同一 基础 镜像 ， 并 且 执 行 了 相 
同 指令 的 镜像 屋 。 在 此 例 中 ，Docker 会 检查 缓存 中 是 否 存在 一 个 基于 
alpine:latest 镜像 日 执行 了 RUN apk add --update nodejs 
nodejs-npm 指令 构建 得 到 的 镜像 层 。 


如 有 果 找 到 该 镜像 层 ，Docker 会 跳 过 这 条 指令 ， 并 链接 到 这 个 已 经 
存在 的 镜像 层 ， 然 后 继续 构建 ， 如 果 无 法 找到 符合 要 求 的 镜像 层 ， 则 
设置 缓存 无 效 并 构建 该 镜像 层 。 此 处 “设置 缓存 无 效 ” 作 用 于 本 次 构建 
的 后 续 部 分 。 也 就 是 说 Dockerfile 中 接 下 来 的 指令 将 全 部 执行 而 不 会 再 
闫 试 查找 构建 缓存。 

假设 Docker 已 经 在 缓存 中 找到 了 该 指令 对 应 的 镜像 层 〈 缓 存 命 
中 ) ， 并 且 假 设 这 个 镜像 层 的 ID 是 AAA。 


下 一 条 指令 会 复制 一 些 代 码 到 镜像 中 (COPY . /src) 。 因 为 
上 一 条 指令 命中 了 缓存 ，Docker 会 继续 查找 是 否 有 一 个 缓存 的 镜像 层 
也 是 基于 AAA 层 并 执行 了 COPY . /src 命令 。 如 果 有 ，Docker 会 链 
接 到 这 个 缓存 的 镜像 层 并 继续 执行 后 续 指 令 ， 如 果 没 有 ， 则 构建 镜像 
层 ， 并 对 后 续 的 构建 操作 设置 缓存 无 效 。 


假设 Docker 已 经 有 一 个 对 应 该 指令 的 缓存 镜像 层 〈 缓 存 命 中 ) ， 
并 且 假 设 这 个 镜像 层 的 ID 是 BBB ° 


那么 Docker 将 继续 执行 Dockerfile 中 剩余 的 指令 。 


理解 以 下 几 点 很 重要 。 


首先 ， 一旦 有 指令 在 缓存 中 未 命中 (没有 该 指令 对 应 的 镜像 
FE) ， 则 后 续 的 整个 构建 过 程 将 不 再 使 用 缓存 。 在 编写 Dockerfile 时 须 
特别 注意 这 一 点 ， 尽 量 将 易于 发 生变 化 的 指令 置 于 Dockerfile 文 件 的 后 
方 执 行 。 这 意味 着 缓存 未 命中 的 情况 将 直到 构建 的 后 期 才 会 出 现 一 一 
从 而 构建 过 程 能 够 尽量 从 绥 存 中 获 益 。 


通过 对 docker image build 命令 加 入 --nocache=true 参 


数 可 以 强制 忽略 对 缓存 的 使 用 。 


还 有 一 点 也 很 重要 ， 那 就 是 COPY MADD 指令 会 检查 复制 到 镜像 
中 的 内 容 目 上 一 次 构建 之 后 是 否 发 生 了 了 变化。 例如， 有 可 能 Dockerfile 
中 的 COPY . /src 指令 没有 发 生变 化 ， 但 是 被 复制 的 目录 中 的 内 容 
已 经 发 生变 化 了 。 

为 了 应 对 这 一 问题 ，Docker 会 计算 每 一 个 被 复制 文件 的 Checksum 


值 ， 并 与 缓存 镜像 层 中 同一 文件 的 checksum 进 行 对 比 。 如 果 不 匹配 ， 
那么 就 认为 缓存 无 效 并 构建 渐 的 镜像 层 。 


2. 合并 镜像 


合并 镜像 并 非 一 个 最 佳 实践 ， 因 为 这 种 方式 利弊 参半 。 


总 体 来 说 ，Docker 会 遵循 正常 的 方式 构建 镜像 ， 但 之 后 会 增加 一 
个 额外 的 步 又， 将 所 有 的 内 容 合并 到 一 个 镜像 层 中 。 


当 镜 像 中 层 数 太 多 时 ， 合 并 是 一 个 不 错 的 优化 方式 。 例 如 ， 当 创 
建 一 个 新 的 基础 镜像 ， 以 便 基 于 它 来 构建 其 他 镜像 的 时 候 ， 这 个 基础 
镜像 不 最 好 被 合并 为 一 层 。 


缺点 是 ， 合 并 的 镜像 将 无 法 共享 镜像 层 。 这 会 导致 存储 空间 的 低 
效 利 用 ， 而 且 push 和 pull 操 作 的 镜像 体积 更 大 。 

执行 docker image build 命令 时 ， 可 以 通过 增加 - -squash 
参数 来 创建 一 个 合并 的 镜像 。 


图 8.8 阐 释 了 合并 镜像 层 市 来 的 存储 空间 低 效 利用 的 问题 。 两 个 镜 
像 的 内 容 是 完全 一 样 的 ， 区 别 在 于 是 否 进行 了 合并 。 在 使 用 docker 


image push 命令 发 送 镜像 到 Docker Hub 时 ， 合 并 的 镜像 需要 发 送 全 
部 字 广 ， 而 不 合并 的 镜像 只 需要 发 送 不 同 的 镜像 层 即 可 。 


只 需 push 独 有 的 镜像 层 ( 浅 灰 色 ) ”整个 镜像 层 都 是 独 有 的 ， 全 部 都 需要 push 


| 


| push 
"penne SE -----------5 
MARR | RUN npm install. 
独 有 的 镜像 层 一 »; COPY . /src 
50018182 RUN apk add npm.. | 合并 的 镜像 ( 未 共享 ) 


图 8.8 合并 的 与 不 合并 的 镜像 


3. 使 用 no-install-recommends 


在 构建 Linux 镜 像 时 ， 若 使 用 的 是 APT 包 管理 器 ， 则 应 该 在 执行 
apt-get install 命令 时 增加 no-install-recommends 参数 。 
这 能 够 确保 APT 仅 安装 核心 依赖 (Depends 中 定义 ) 包 ， 而 不 是 推荐 
和 建议 的 包 。 这 样 能 够 显著 减少 不 必要 包 的 下 载 数量 。 


4. 不 要 安装 MSI 包 (Windows) 


在 构建 Windows 镜 像 时 ， 尽 量 避 免 使 用 MSI 包 管理 右 。 因 其 对 
间 的 利用 率 不 高 ， 会 大 幅 增 加 镜像 的 体积 。 


8.3 ”应 用 的 容器 化 一 一 命令 


e docker image build 命令 会 读 取 Dockerfile， 并 将 应 用 程序 容 
L ° EH -t 参数 为 镜像 打 标 签 ， 使 用 -f 参数 指定 Dockerfile 的 
路 径 和 名 称 ， 使 用 -f 参数 可 以 指定 位 于 任意 路 径 下 的 任意 名 称 的 
Dockerfile。 构 建 上 下 文 是 指 应 用 文件 存放 的 位 置 ， 可 能 是 本 地 
Docker 主 机 上 的 一 个 目录 或 一 个 远程 的 Git 库 。 


Ht 


Dockerfile 中 的 FROM 指令 用 于 指定 要 构建 的 镜像 的 基础 镜像 。 它 
通常 是 Dockerfile 中 的 第 一 条 指令 。 

Dockerfile 中 的 RUN 指 令 用 于 在 镜像 中 执行 命令 ， 这 会 创建 新 的 镜 
像 层 。 每 个 RUN 指 令 创建 一 个 新 的 镜像 层 。 
Dockerfile 中 的 COPY 指 令 用 于 将 文件 作为 一 个 新 的 层 添加 a 到 镜像 
中 。 通 常 使 用 COPY 指 令 将 应 用 代码 赋值 到 镜像 中 。 
Dockerfile 中 的 EXPOSE 指 令 用 于 记录 应 用 所 使 用 的 网 络 端口 。 
Dockerfile 中 的 ENTRYPOINT 指 令 用 于 指定 镜像 以 容器 方式 启动 后 
默认 运行 的 程序 。 

其 他 的 Dockerfile 指 令 还 有 LABEL ` ENV ` ONBUILD ` 
HEALTHCHECK、CMD 等 。 


8.4 ”本 章 小 结 


本 章 介 绍 了 如 何 容 器 化 (Docker 化 ) 一 个 应 用 。 


首先 从 远程 Git 库 拉 取 了 一 些 应 用 代码 。 库 中 除了 应 用 代码 ， 还 包 
括 Dockerfile， 后 者 包含 一 系列 指令 ， 用 于 定义 如 何 将 应 用 构建 为 一 个 
镜像 。 然 后 介绍 了 Dockerfile 基 本 的 工作 机 制 ， 并 用 docker image 
build 命令 创建 了 一 个 新 的 镜像 。 


镜像 创建 后 ， 基 于 该 镜像 启动 了 一 个 容 邵 ， 并 借助 Web 浏 虎 秀 对 
其 进行 了 测试 。 


接 下 来 ， 读 者 可 以 了 解 多 阶段 构建 提供 了 一 种 简单 的 方式 ， 能 够 
构建 更 加 精简 的 生产 环境 镜像 。 


读者 从 本 章 中 还 可 以 了 解 到 Dockerfile 是 一 个 将 应 用 程序 文档 化 的 
有 力 工 具 。 正 因 如 此 ， 它 能 够 帮助 新 加 入 的 开发 人 员 迅 速 进入 状态 ， 
能 够 为 开发 人 员 和 运 维 人 员 弥 合 分 歧 。 出 于 这 种 考虑 ， 请 将 其 视 为 代 
码 ， 并 用 源 控制 系统 进行 管理 。 


虽然 本 章 的 例子 都 是 基于 Linux 的 ， 但 是 对 于 Windows 应 用 的 容器 
化 也 是 类 似 的 过 程 : 首先 编写 应 用 代码 ， 然 后 创建 一 个 Dockerfile 来 定 
义 这 个 应 用 ， 最 后 使 用 docker image build 命令 构建 镜像 。 


第 9 章 ”使 用 Docker Compose 部 署 应 用 


本 章 介 绍 如 何 使 用 Docker Compose 部 署 多 容器 的 应 用 。 


Docker Compose 与 Docker Stack 非 常 类 似 。 本 章 主 要 介绍 Docker 
Compose， 它 能 够 在 Docker 广 点 上 ， 以 单 引 擎 模式 (Single-Engine 
Mode) 进行 多 容器 应 用 的 部 署 和 管理 。 下 一 章 将 介绍 Docker Stack, 
SE 


E Reg LA Swarmt UX} Docker T A ERS RAM ET a A E o 
本 章 依 然 分 为 以 下 3 个 部 分 。 
。 人 简介 。 


。 详 解 。 


9.1 使 用 Docker Compose 部 署 应 用 一 一 简介 


多 数 的 现代 应 用 通过 多 个 更 小 的 服务 互相 协同 来 组 成 一 个 完整 可 
用 的 应 用 。 比 如 一 个 简单 的 示例 应 用 可 能 由 如 下 4 个 服务 组 成 。 


e Web 前 端 。 
。 订单 管理 。 
品类 管理 。 
后 台数 据 库 。 


将 以 上 服务 组 织 在 一 起 ， 就 是 一 个 可 用 的 应 用 。 


部 署 和 管理 党 多 的 服务 是 困难 的 。 而 这 正 是 Docker Compose 要 解 
决 的 问题 。 


Docker Compose 并 不 是 通过 脚本 和 各 种 见长 的 docker 命令 来 将 
应 用 组 件 组 织 起 来 ， 而 是 通过 一 个 声明 式 的 配置 文件 描述 整个 应 用 ， 
从 而 使 用 一 条 命令 完成 部 署 。 


WHER Aaa, ANRI RIA AS aS SEEM oc 
明 周 期 的 管理 。 甚 至 ， 配 置 文件 还 可 以 置 于 版 本 控制 系统 中 进行 存储 
和 管理 。 这 是 显著 的 进步 | 


简要 的 了 解 之 后 ， 下 面 将 展开 更 加 深入 的 介绍 。 
9.2 ”使 用 Docker Compose 部 署 应 用 一 一 详解 


本 市 分 为 如 下 几 方 面 。 


。 Docker Compose 的 背景 。 

。 安装 Docker Compose ° 

。 Compose 文 件 。 

。 使 用 Docker Compose 部 署 应 用 ° 
。 使 用 Docker Compose 管 理应 用 。 


9.2.1 Docker Compose 的 背景 


Docker Compose 的 前 身 是 Fig。Fig 是 一 个 由 Orchard 公 司 开 发 的 强 
有 力 的 工具 ， 在 当时 是 进行 多 容 需 管理 的 最 佳 方案 。Fig 是 一 个 基于 
Docker 的 Python 工具 ， 人 允许 用 户 基 于 一 个 YAML 文 件 定义 多 容器 应 
用 ， 从 而 可 以 使 用 fig 命令 行 工具 进行 应 用 的 部 署 。Fig 还 可 以 对 应 用 
的 全 生命 周期 进行 管理 。 


内 部 实现 上 ，Fig 会 解析 YAML 文 件 ， 并 通过 Docker API 进 行 应 用 
的 部 署 和 管理 。 这 种 方式 相当 不 错 ! 


在 2014 年 ，Docker 公 司 收购 了 Orchard 公 司 ， 并 将 Fig 更 名 为 Docker 
Compose。 命 令 行 工具 也 从 fig 更 名 为 docker-compose ， 并 有 自 此 成 
为 绑 定 在 Docker 引 警 之 上 的 外 部 工具 。 昌 然 它 从 未 完全 集成 到 Docker 
引擎 中 ， 但 是 仍然 受到 广泛 关注 并 得 到 普遍 使 用 。 


直至 今日 ，Docker Compose 仍 然 是 一 个 需要 在 Docker 主 机 上 进行 
安装 的 外 部 Python 工具 。 使 用 它 时 ， 首 先 编写 定义 多 容器 (多 服务 ) 


应 用 的 YAML 文 件 ， 然 后 将 其 交 由 docker-compose 命令 处 理 ， 
Docker Compose 就 会 基于 Docker 引 警 API 完 成 应 用 的 部 署 。 


下 面 通过 实战 进行 介绍 。 
9.2.2 ”安装 Docker Compose 


Docker Compose 可 用 于 多 种 平台 。 本 节 将 介绍 在 Windows、Mac 
以 及 Linux 上 的 几 种 安装 方法 。 当 然 还 有 其 他 的 安装 方法 ， 不 过 以 下 几 
种 足够 帮助 读者 入 门 。 


1. 在 windows 10 上 安装 Docker Compose 


在 Windows 10 上 运行 Docker 的 推荐 工具 是 Windows 版 Docker 
(Docker for Windows, DfW) ° Docker Compose 会 包含 在 标准 DfW 安 装 
包 中 。 所 以 ， 安 装 DfW 之 后 就 已 经 有 Docker Compose LA T ° 


在 PowerShell 或 CMD 终 端 中 使 用 如 下 命令 可 以 检查 Docker 
Compose 是 否 安装 成 功 。 


> docker-compose --version 
docker-compose version 1.18.0, build 8dd22a96 


关于 在 Windows 10 上 安装 Windows 版 Docker 的 更 多 内 容 请 见 第 3 
音 。 


2. 在 Mac 上 安装 Docker Compose 


与 Windows 10 一 样 ， Docker Compose 也 作为 Mac 版 Docker 
(Docker for Mac, DfM) 的 一 部 分 进行 安装 ， 所 以 一 旦 安装 了 DfM， 
也 就 安装 了 Docker Compose ° 


在 终端 中 运行 如 下 命令 检查 Docker Compose 是 否 安装 。 


$ docker-compose --version 
docker-compose version 1.18.0, build 8dd22a96 


关于 安装 Mac 版 Docker 的 更 多 内 容 请 见 第 3 章 。 


3. 在 Windows Server 上 安装 Docker Compose 


Docker Compose 在 Windows Server 上 是 作为 一 个 单独 的 二 进 制 文 
件 安装 的 。 因 此 ， 使 用 它 的 前 提 是 确保 在 Windows Server 上 已 经 正确 
安装 了 Docker ° 


在 PowerShell 终 端 中 输入 如 下 命令 来 安装 Docker Compose。 为 了 
便于 阅读 ， 下 面 的 命令 使 用 反 引 号 C) 来 对 换行 进行 转 义 ， 从 而 将 多 
行 命令 合并 。 

下 面 的 命令 安装 的 是 1.18 .9 版 本 的 Docker Compose， 读 者 请 目 
行 选 择 版 本 号 : https://github. com/docker/compose/releases。 只 需要 将 
URL 中 的 1.18 .0 替换 为 你 布 望 安 效 的 版 本 即 可 。 


> Invoke-WebRequest ` 
"https://github.com/docker/compose/releases/download/1\ 
.18.0/docker -compose-Windows -x86_64.exe" ` 
-UseBasicParsing ` 

-OutFile $Env:ProgramFiles\docker\docker -compose.exe 


Writing web request 
Writing request stream... (Number of bytes written: 5260755) 


使 用 docker-compose --version 命令 查看 安装 


> docker-compose --version 
docker-compose version 1.18.0, build 8dd22a96 


Docker Compose 安 装 好 了 ， 只 要 Windows Server #224 Docker 
引擎 即 可 使 用 。 


4. 在 Linux 上 安装 Docker Compose 


在 Linux 上 安装 Docker Compose? 分 为 两 步 。 首 先 使 用 curl 命令 下 
载 二 进 制 文件 ， 然 后 使 用 chmod 命令 将 其 置 为 可 运行 。 


Docker Compose 在 Linux 上 的 使 用 ， 同 样 需要 先 安装 有 Docker 引 


q 


如 下 命令 会 下 载 1.18 .0 版 本 的 Docker Compose 
到 /usr/bin/local 。 请 在 GitHub 上 查找 想 安装 的 版 本 ， 并 替换 
URL 中 的 1.18.0 ° 


下 面 的 示例 是 一 条 写成 多 行 的 命令 ， 如 有 果 要 将 其 合并 为 一 行 ， 请 
MERR A) 。 


$ curl -L \ 
https 


://github.com/docker/compose/releases/download/1.18.0/docker- 
compose- `\ 
uname -s`-`uname -m \ 

-0 /usr/local/bin/docker-compose 


% Total % Received Time Time Time Current 


Total Spent Leth Speed 
100 617 © 617 O --:--:-- --i--1-- --1--1-- 1047 
100 8280k 100 8280k 0 0:00:03 0: 00: 03 --:--:-- 4069k 


下 载 dockercompose 二 进 制 文件 后 ， 使 用 如 下 命令 使 其 可 执行 。 


$ chmod +x /usr/local/bin/docker -compose 


Foe oT LA ° 


$ docker-compose --version 
docker-compose version 1.18.0, build 8dd22a9 


现在 就 可 以 在 Linux 上 使 用 Docker Compose J ° 


此 外 ， 也 可 以 使 用 pip 来 安装 Docker Compose 的 Python 包 。 不 
过 ， 本 书 无 意 在 各 种 各 样 的 安 效 方法 中 花费 过 多 篇 幅 ， 点 到 为 止 ， 继 
续 后 续 的 内 容 。 


9.2.3 ”Compose 文 件 


Docker Compose 使 用 YAML 文件 来 定义 多 服务 的 应 用 。YAML 是 
JSON 的 一 个 子 集 ， 因 此 也 可 以 使 用 JSON。 不 过 本 章 中 的 例子 将 全 音 
采用 YAML 。 


Docker Compose 默 认 使 用 文件 名 docker-compose.yml ° 4 
然 ， 用 户 也 可 以 使 用 -f 参数 指定 具体 文件 。 


如 下 是 一 个 简单 的 Compose 文 件 的 示例 ， 它 定义 了 一 个 包含 两 个 
服务 (web-fe 和 redis ) 的 小 型 Flask 应 用 。 这 是 一 个 能 够 对 访问 者 
进行 计数 并 将 其 保存 到 Redis 的 简单 的 web 服务。 本 书 中 将 其 命名 为 
counter-app ， 并 将 其 作为 后 续 章 市 的 示例 应 用 程序 。 


version: "3.5" 
services: 
web-fe: 
build: . 


command: python app.py 
ports: 

- target: 5000 
published: 5000 

networks: 

- counter-net 

volumes: 

- type: volume 
source: counter-vol 
target: /code 

redis: 
image: "redis:alpine" 
networks: 

counter -net: 


networks: 
counter-net: 


volumes: 
counter-vol: 


FER AF A TAS LER OPA, ECR CEE, E 


包含 4 个 一 级 key: version » services » networks » volumes 


除 此 之 外 的 其 他 key， 这 里 暂时 不 展开 讨论 。 


version 是 必须 指定 的 ， 而 且 总 是 位 于 文件 的 第 一 行 。 它 定义 了 
Compose 文 件 格 式 (主要 是 API) 的 版 本 。 建 议 使 用 最 新 版 本 。 


注意 ，version 并 非 定 义 Docker Compose 或 Docker 引 警 的 版 本 
5 o WREE THK F Docker5|#£ > Docker Compose Compose Xt 
件 之 间 的 版 本 兼容 性 信息 ， 请 搜索 “Compose file versions and 
upgrading” ° 


本 章 中 Compose 文 件 将 使 用 版 本 3 及 以 上 的 版 本 。 


services 用 于 定义 不 同 的 应 用 服务 。 上边 的 例子 定义 了 两 个 服 
BS: 一 个 名 为 web -fe 的 Web 前 端 服务 以 及 一 个 名 为 redis 的 内 存 数 
据 库 服 务 。Docker Compose 会 将 每 个 服务 部 署 在 各 目的 容器 中 。 


networks 用 于 指引 Docker 创 建新 的 网 络 。 默 认 情 况 下 ，Docker 
Compose 会 创建 bridge 网 络 。 这 是 一 种 单 主机 网 络 ， 只 能 够 实现 同 
z ae o 当然 ， 也 可 以 使 用 driver 属性 来 指定 不 同 的 


下 面 的 代码 可 以 用 来 创建 一 个 名 为 over -net 的 Overlay 网 络 ， 允 
许 独 立 的 容器 (standalone container) 连接 (attachable) 到 该 网 络 
下 o 


networks : 
over-net: 
driver: overlay 


attachable: true 


volumes 用 于 指引 Docker 来 创建 新 的 卷 。 
分 析 示 例 中 的 Compose 文 件 


上 面 例子 中 的 Compose 文件 使 用 的 是 v3.5 版 本 的 格式 ， 定 义 了 两 
个 服务 ， 一 个 名 为 counter -net 的 网 络 和 一 个 名 为 counter -vol 
的 卷 。 


更 多 的 信息 在 services 中 ， 下 面 仔细 分 析 一 下 。 


Compose 文 件 中 的 services 部 分 定义 了 两 个 二 级 key: web-fe 
和 redis。 


它们 各 自 定义 了 一 个 应 用 程序 服务 。 需 要 明确 的 是 ，Docker 
Compose 会 将 每 个 服务 部 署 为 一 个 容器 ， 并 日 会 使 用 key 作 为 容 右 名 字 
的 一 部 分 。 本 例 中 定义 了 两 个 key: web-fe 和 redis 。 因 此 Docker 
Compose 会 部 署 两 个 容器 ， 一 个 容器 的 名 字 中 会 包含 Web-fe ， 而 另 
一 个 会 包含 redis 。 


web-fe 的 服务 定义 中 ， 包 含 如 下 指令 。 


build: . 指定 Docker 基 于 当前 目录 (. ) 下 Dockerfile 中 定义 的 
和 令 来 构建 一 个 新 镜像 。 该 镜像 会 被 用 于 启动 该 服务 的 容器 。 
command: python app.py 指定 Docker 在 容器 中 执行 名 为 
app .py 的 Python 脚本 作为 主 程序 。 因 此 镜像 中 必须 包含 app .py 
文件 以 及 Python， 这 一 点 在 Dockerfile 中 可 以 得 到 满足 。 

ports: 指定 Docker 将 容器 内 (-target ) 的 5000 端 口 映 射 到 
主机 (published ) 的 5000 端 口 。 这 意味 着 发 送 到 Docker 主 机 
5000 端 口 的 流量 会 被 转发 到 容器 的 5000 端 口 。 容 器 中 的 应 用 监听 
端口 5000。 

networks : 使 得 Docker 可 以 将 服务 连接 到 指定 的 网 络 上 。 这 个 
网 络 应 该 是 已 经 存在 的 ， 或 者 是 在 networks 一 级 key 中 定义 的 网 
络 。 对 于 Overlay 网 络 来 说 ， 它 还 需要 定义 一 个 attachable tp 
志 ， 这 样 独 立 的 容器 才 可 以 连接 上 它 (这 时 Docker Compose 会 首 
署 独立 的 容 絮 而 不 是 Docker 服 务 ) 


e volumes: #8Docker}#counter-vol # (source: ) 挂 载 
到 容器 内 的 /code (target: ) ° counter-vol 卷 应 该 是 已 
存在 的 ， 或 者 是 在 文件 下 方 的 volumes 一 级 key 中 定义 的 。 


RE, Docker Compose 会 调用 Docker 来 为 web-fe 服务 部 署 一 个 
独立 的 容器 。 该 容 磊 基于 与 Compose 文 件 位 于 同一 目录 下 的 Dockerfile 
构建 的 镜像 。 基 于 该 镜像 启动 的 容器 会 运行 app .py 作为 其 主 程序 ， 
将 5000 端 口 又 露 给 宿主 机 ， 连 接 到 counter -net 网 络 上 ， 并 挂 载 一 
个 卷 到 /code ° 


从 技术 上 讲 ， 本 例 并 不 需要 配置 command: python app.py。 因 为 镜像 的 
Dockerfile 已 经 将 python app.py 定义 为 了 默认 的 启动 程序 。 但 是 ， 本 例 主 要 是 为 
了 展示 其 如 何 执行 ， 因 此 也 可 用 于 覆盖 Dockerfile 中 配置 的 CMD 指令 。 


redis 服务 的 定义 相对 比较 简单 。 


e image: redis:alpine 使 得 Docker 可 以 基于 redis:alpine 
镜像 启动 一 个 独立 的 名 为 redis 的 容器 。 这 个 镜像 会 被 从 Docker 
Hub 上 拉 取 下 来 。 

e networks: 配置 redis 容器 连接 到 counter-net 网 络 。 


由 于 两 个 服务 都 连接 到 counter -net 网 络 ， 因 此 它们 可 以 通过 
名 称 解析 到 对 方 的 地 址 。 了解 这 一 点 很 重要 ， 本 例 中 上 层 应 用 被 配置 
为 通过 名 称 与 Redis 服 务 通信 。 


既然 理解 了 Compose 文 件 的 工作 原理 ， 下 面 开始 部 闭 实 战 吧 | 


9.2.4 ”使 用 Docker Compose 部 署 应 用 
本 节 将 实际 部 署 9.2.3 节 介绍 的 Compose 文件 中 定义 的 应 用 。 读 者 
可 以 从 我 的 GitHub 主 页 中 的 counter-app 下 载 所 需 的 文件 。 


将 Git 库 克隆 到 本 地 。 使 克隆 下 来 的 代码 文件 位 于 一 个 新 创建 的 名 
为 counter-app 的 目录 中 。 该 日 好 包含 所 需 的 所 有 文件 ， 可 以 作为 


构建 上 下 文 。Docker Compose 会 使 用 目录 名 (counter-app) 作为 
项 目 名 称 ， 这 一 点 在 后 续 的 操作 中 会 看 到 ， Docker Compose 会 将 所 有 
的 资源 名 称 中 加 上 前 缀 counter -app_ 


进入 counter -app 日 录 中 ， 检 查 文件 是 否 存 在 。 


$ cd counter-app 
$ ls 


app.py docker-compose.yml Dockerfile requirements.txt ... 


Ta BAP LEIS IL PHF 


e app. py 是 应 用 程序 代码 (— Python Flask H) 。 

。docker-compose,yml 是 Compose 文 件 ， 其 中 定义 了 Docker 如 
何 部 署 应 用 。 

。Dockerfile 定义 了 如 何 构建 web -fe 服务 所 使 用 的 镜像 。 

e requirements. txt 列 出 了 应 用 所 依赖 的 Python 包 。 


请 根据 需要 目 行 查看 文件 内 容 。 


app. py 显然 是 应 用 的 核心 文件 ， 而 docker-compose.yml X 
件 将 应 用 的 所 有 组 件 组 织 起 来 。 


下 面 使 用 Docker Compose 将 应 用 启动 起 来 。 以 下 所 有 的 命令 都 是 
运行 在 刚才 克隆 的 counter-app 目录 下 的 。 


$ docker-compose up & 


[1] 1635 

Creating network "counterapp_counter-net" with the default driver 
Creating volume "counterapp_counter-vol" with default driver 
Pulling redis (redis:alpine)... 


alpine: Pulling from library/redis 
1160f4abea84: Pull complete 
a8c53d69ca3a: Pull complete 

<Snip> 

web-fe 1 | * Debugger PIN: 313-791-729 


启动 应 用 将 花费 几 秒 钟 时 间 ， 其 输出 也 非常 详尽 。 不 过 关于 启动 
过 程 会 在 稍 后 介绍 ， 我 们 首先 讨论 一 下 docker -compose 命令 。 


常用 的 启动 一 个 Compose 应 用 〈 通 过 Compose 文 件 定义 的 多 容器 
应 用 称 为 “Compose 应 用 ”) 的 方式 就 是 docker -compose up 命令。 
它 会 构建 所 需 的 镜像 ， 创 建 网 络 和 卷 ， 并 启动 容器 。 


默认 情况 下 ，docker-compose up 会 查找 名 为 docker- 
compose . yml 或 docker-compose.yaml 的 Compose 文 件 。 如 果 
Compose 文 件 是 其 他 文件 名 ， 则 需要 通过 -f 参数 来 指定 。 如 下 命令 会 
基于 名 为 prod-equus-bass,yml 的 Compose 文 件 部 署 应 用 。 


$ docker-compose -f prod-equus-bass.yml up 


使 用 - d FRUER AADMA the Bs LA ARS, RUT ° 


docker-compose up -d 


--OR-- 


docker-compose -f prod-equus-bass.yml up -d 


前 面 的 示例 命令 在 前 台 启 动 应 用 (没有 使 用 -d 参数 ) ， 但 是 使 用 
了 & 将 终端 窗口 返回 。 这 种 用 法 不 太 正 规 ， 所 有 的 日 志 还 古 会 直接 输 
出 到 我 们 后 续 可 能 会 用 的 终端 窗口 上 。 


这 样 应 用 就 构建 并 启动 起 来 了 ， 读 者 可 以 直接 使 用 docker 命令 
来 查看 Docker Compose 创 建 的 镜像 、 容 器 、 网 络 和 卷 。 


$ docker image ls 
REPOSITORY TAG IMAGE ID CREATED 
counterapp_web-fe latest 96..6ff9e 3 minutes ago 


3.4-alpine 01..17a02 2 weeks ago 
alpine ed. .c83de 5 weeks ago 


可 以 看 到 有 3 个 在 部 车 过 程 中 构建 或 拉 取 的 镜像 。 


counterapp_web-fe:latest 镜像 产 自 docker - 
compose .yml 文件 中 的 build: . 指令 。 该 指令 让 Docker 基 于 当前 
目 孙 下 的 Dockerfile 来 构建 一 个 痢 的 镜像 。 该 镜像 基于 python:3.4- 
alpine 构建 ， 其 中 包含 Python Flask Web 应 用 的 程序 代码 。 更 多 信息 
可 以 通过 查看 Dockerfile 的 内 容 进 行 了 解 。 


FROM python:3.4-alpine : 
ADD . /code J 复制 到 镜像 中 
WORKDIR /code 设置 工 录 


RUN pip install -r requirements.txt 
CMD ["python", "app.py"] 设置 默认 启动 命令 


为 了 方便 理解 ， 每 一 行 都 添加 了 注释 。 部 署 时 要 删除 摊 。 


请 注意 ，Docker Compose 会 将 项 目 名 称 (counter-app ) 和 
Compose 文 件 中 定义 的 资源 名 称 (web-fe) 连 起 来 ， 作 为 新 构建 的 
镜像 的 名 称 ° Docker Compose 部 署 的 所 有 资源 的 名 称 都 会 遵循 这 一 规 
yE ° 


HF Compose (4H . Services. redis 项 中 指定 了 image: 
"redis:alpine" ， 因 此 会 从 Docker Hub 拉 取 redis:alpine 镜 
Re 


ON Rasa th T BNA aso EAR PRL PR (所 在 
目录 名 称 ) 为 前 级。 此 外 ， 它 们 还 都 以 一 个 数字 为 后 缀 用 于 标识 容器 
实例 序号 一 因为 Docker Compose LFI HR ° 


$ docker container ls 

COMMAND STATUS PORTS 

"python app.py" Up 2 min 0.0.0.0:5000->5000/tcp 
counterapp_web-fe_1 


57.. "docker-entry.." Up 2 min 6379/tcp 
counterapp_redis_1 


counterapp_web-fe Aas FIST eV AA Websil Ym o LATE 
行 的 是 app .py ， 并 且 被 映射 到 了 Docker 主 机 的 5000 端口 ， 稍 后 会 进 
行 连接 。 


如 下 的 网 络 和 卷 列表 显示 了 名 为 counterapp_counternet 的 网 络 和 各 


为 counterapp_counter-vol 的 卷 。 


$ docker network ls 

NETWORK ID NAME DRIVER 
1bd949995471 bridge bridge 
40df784e00fe counterapp_counter-net bridge 
f2199f3cf275 host host 


67c31a035a3c none null 


$ docker volume 1s 

DRIVER VOLUME NAME 

<Snip> 

local counterapp_counter-vol 


应 用 部 署 成 功 后 ， 读 者 可 以 用 Docker 主 机 的 浏览 器 连接 5000 端 
口 来 查看 应 用 的 运行 效果 ， 如 图 9.1 所 示 。 


ál | 一 | 口 X 


口 docker-host.. 
(e © docker-host:5000 wow: 


What’s up Docker Deep Divers! You’ve visited me | times. 


R91 ”应 用 部 署 成 功 的 运行 效果 


单 击 浏览 器 的 刷新 按钮 ， 计 数 会 增加 。 感 兴趣 的 读者 可 以 查看 
app. py 是 如 何在 Redis 中 存储 计数 的 。 


如 果 使 用 & 启动 应 用 ， 那 么 可 以 在 终端 窗口 中 看 到 包含 HTTP 响 应 
fan 这 表明 请 求 收 到 了 正确 的 啊 应 ， 每 次 加 载 页 面 都 会 有 日 
mat] EN 


web-fe_1 | 172.18.0.1 - - [09/Jan/2018 11:13:21] "GET / HTTP/1.1" 
200 - 
web-fe_1 | 172.18.0.1 - - [09/Jan/2018 11:13:33] "GET / HTTP/1.1" 


200 - 


AWE! 到 此 为 止 ， 多 容器 的 应 用 已 经 借助 Docker Compose 成 功 部 
团 了 。 


9.2.5 “使 用 Docker Compose 管 理应 用 


本 会 介绍 如 何 使 用 Docker Compose 局 动 、 停 止 和 删除 应 用 ， 以 
。 还 会 演示 如 何 使 用 挂 载 的 卷 来 实现 对 Web 前 端的 更 
鸡 o 


既然 应 用 已 经 启动 ， 下 面 看 一 下 如 何 使 其 停止 。 为 了 实现 这 一 
点 ， 将 子 命 令 up 替换 成 down 即 可 。 


$ docker-compose down 
1. Stopping counterapp_redis_1... 
2. Stopping counterapp_web-fe_1 ... 


3. redis_1 | 1:signal-handler Received SIGTERM scheduling 
shutdown... 

4. redis 1 | 1:M 09 Jan 11:16:00.456 # User requested 
shutdown... 

5. redis_1 | 1:M 09 Jan 11:16:00.456 * Saving the final RDB 
snap... | 

6. redis_1 1:M 09 Jan 11:16:00.463 * DB saved on disk 

7. Stopping counterapp_redis_1 ... done 


8. counterapp_redis_1 exited with code 0 


9. Stopping counterapp_web-fe_1 ... done 
10. Removing counterapp_redis_1 ... done 
11. Removing counterapp_web-fe_1 ... done 


12. Removing network counterapp_counter-net 


13. [1]+ Done docker-compose up 


由 于 是 使 用 & AIA, MEESTER o RR EA ita 
上 会 打印 详细 的 输出 ， 从 而 可 以 很 好 地 了 解 其 执行 过 程 。 下 面 介绍 一 
下 每 一 行 都 代表 什么 意思 。 


第 1、2 行 开始 尝试 关闭 两 个 服务 ， 即 Compose 文 件 中 定义 的 web- 
fe 和 和 redis 。 


由 第 3 行 可 知 stop 指令 会 发 送 SIGTERM 信号 。 信 号 会 被 发 送 到 
每 个 容器 中 PID 为 1 的 进程 。 第 4~6 行 显示 Redis 容 器 接收 到 信号 后 优雅 
地 上 自行 关闭 。 第 7、8 行 表明 已 成 功 停止 Redis。 


第 9 行 表 明 web-fe 服务 也 被 成 功 集 止 。 
由 第 10 和 11 行 可 知已 停止 的 服务 被 删除 。 


第 12 行 显示 counter-net 网 络 被 删除 ， 第 13 行 显示 docker - 
compose up 进程 退出 。 


需要 特别 注意 的 是 ，counter -vol 卷 并 没有 被 删除 ， 因 为 卷 应 
该 是 用 于 数据 的 长 期 持久 化 存储 的 。 因 此 ， 卷 的 生命 周期 是 与 相应 的 
容器 完全 解 耦 的 。 执 行 docker volume 1s 可 见 该 卷 依然 存在 于 系 
统 中 。 写 到 卷 上 的 所 有 数据 都 会 保存 下 来 。 


同样 ， 执 行 docker -compose up 过 程 中 拉 取 或 构建 的 镜像 也 会 
保留 在 系统 中 。 因 此 ， 再 次 部 署 该 应 用 将 更 加 快捷 。 


下 面 继续 介绍 其 他 几 个 docker-compose 子 命令 。 使 用 如 下 命 
令 再 次 启动 应 用 ， 但 是 这 次 在 后 台 启 动 它 。 


$ docker-compose up -d 
Creating network "counterapp_counter-net" with the default driver 
Creating counterapp_redis_1 ... done 


Creating counterapp_web-fe_1 ... done 


eS ZHAI 2 RR2—E Acounter-vol 卷 已 经 存 
在 ， 而 且 不 需要 去 拉 取 和 构建 镜像 。 


使 用 docker -compose up 命令 来 查看 应 用 的 状态 。 


$ docker-compose ps 


Command State Ports 


counterapp_redis_1 docker-entrypoint... 
counterapp_web-fe_1 python app.py 
0.0.0.0:5000->5000/tcp 


输出 中 会 显示 容器 名 称 、 其 中 运行 的 Command、 当 前 状态 以 及 其 
监听 的 网 络 疹 口 。 


使 用 docker -compose top 命令 列 出 各 个 服务 (容器 ) 内 运行 
的 进程 。 


$ docker-compose top 
counterapp_redis_1 
USER TIME COMMAND 


843 dockrema 0:00 redis-server 


counterapp_web-fe_1 
USER TIME COMMAND 


python app.py 
1016 root 7 /usr/local/bin/python app.py 


其 中 PID 编 号 是 在 Docker 主 机 上 (AeA RA) 的 进程 ID 。 


docker-compose stop 命令 会 停止 应 用 ， 但 并 不 会 删除 资 
源 。 然 后 再 次 运行 docker -compose ps 查看 状态 。 


$ docker-compose stop 
Stopping counterapp_web-fe_1 ... done 
Stopping counterapp_redis 1 ... done 


$ docker-compose ps 


Name Command State 


counterapp_redis_1 docker-entrypoint.sh redis Exit 0 
counterapp_web-fe_1 python app.py Exit 0 


可 以 看 到 ， 停 止 Compose 应 用 并 不 会 在 系统 中 删除 对 应 用 的 定 
义 ， 而 仅 将 应 用 的 容器 停止 。 这 一 点 可 以 使 用 docker container 
ls -a 命令 进行 验证 。 


对 于 已 停止 的 Compose 应 用 ， 可 以 使 用 docker-compose rm fit 
令 来 删除 。 这 会 删除 应 用 相关 的 容器 和 网 络 ， 但 是 不 会 删除 卷 和 镜 
像 。 当 然 ， 也 不 会 删除 应 用 源码 〈 项 目 目录 下 的 app.py ` 
Dockerfile、reduirements ,txt #ldocker -compose. yml 


六 
执行 docker-compose restart 命令 重启 应 用 。 


$ docker-compose restart 
Restarting counterapp_ web-fe 1 ... 
Restarting counterapp_redis 1 


Command State Ports 


counterapp_redis_1 docker-entrypoint... 6379/tcp 
counterapp_web-fe_1 python app.py 0.0.0.0:5000- 
>5000/tcp 


使 用 docker-compose down 这 一 个 命令 就 可 以 停止 和 关闭 应 
用 。 


$ docker-compose down 


Stopping counterapp_web-fe 1 ... done 
Stopping counterapp_redis 1 ... done 
Removing counterapp_web-fe_1 ... done 


Removing counterapp_redis_1 ... done 


Removing network counterapp_counter-net 


应 用 被 删除 ， 仅 留 下 了 镜像 、 卷 和 源码 。 下 面 最 后 一 次 部 署 应 
用 ， 然 后 查看 卷 的 情况 。 


$ docker compose up -d 
Creating network "counterapp_counter-net" with the default driver 
Creating counterapp_redis_1 ... done 


Creating counterapp_web-fe_1 ... done 


如 有 果 查 看 Compose 文 件 会 发 现 ， 其 中 定义 了 一 个 名 为 counter- 
vol 的 新 卷 ， 并 将 其 挂 载 到 web - fe 服务 的 /code 路 人 径 上 。 


services: 
web-fe: 
<Snip> 
volumes: 

- type: volume 
source: counter-vol 
target: /code 

<Snip> 
volumes: 
counter-vol: 


当 第 一 次 部 署 该 应 用 的 时 候 ，Docker Compose 会 检查 是 否 有 同名 
aes 。 如 果 不 存在 ， 则 会 创建 它 。 也 可 使 用 docker volume 
s 命令 手动 查看 。 


$ docker volume 1s 
RIVER VOLUME NAME 


local counterapp_counter -vol 


值得 注意 的 是 ，Docker Compose 会 在 部 署 服务 之 前 创建 网 络 和 
卷 。 这 很 合理 ， 因 为 它们 是 供 服 务 (容器 ) 使 用 的 底层 基础 资源 。 如 
下 可 见 ，Docker Compose 会 首先 创建 网 络 和 凑 《 甚 至 先 于 构建 和 拉 取 
Cd, o 


$ docker-compose up -d 


Creating network "counterapp_counter-net" with the default driver 
Creating volume "counterapp_counter-vol" with default driver 


Pulling redis (redis:alpine)... 
<Snip> 


再 次 研读 Dockerfile 中 关于 web-fe 服务 的 定义 ， 会 看 到 它 将 卷 
counter -app 挂 载 到 容器 的 /code 目录 。 还 会 发 现 ，/code 正 是 应 
用 安装 和 执行 的 目录 。 由 此 可 知 ， 应 用 的 代码 是 位 于 Docker 卷 中 的 ， 
如 图 9.2 所 示 。 


Compose file 
FROM python:3.4-alpine services: 
ADD . /code web-fe: 
WORKDIR /code volumes: 
RUN pip install -r requirements.txt - type: volume 
CMD ["python", "app.py"] source: counter-vol 


将 应 用 添加 到 /code 目 录 下 ， 将 /code 作 为 卷 挂 载 
并 设置 其 为 工作 目录 ， 从 而 
在 /code 执 行 该 应 用 


图 9.2 ”应 用 的 代码 位 于 Docker 卷 中 


Mma, BATE Docker 主机 对 卷 中 文件 的 修改 ， 会 立刻 反应 到 
应 用 中 。 下 面 验 证 一 下 。 


具体 的 验证 过 程 包 含 这 样 几 个 步 怠 。 首 先 在 项 目 目录 下 编辑 
app. py 文件 ， 从 而 应 用 在 浏览 器 中 的 页 面 会 显示 不 同 的 文本 。 然 后 
将 更 新 的 文件 复制 到 位 于 Docker 主 机 的 卷 中 。 最 后 刷新 应 用 的 Web 页 
面 来 查看 更 新 的 内 容 。 因 为 ， 所 有 对 位 于 Docker 主 机 上 的 卷 中 内 容 的 
修改 都 会 立刻 反映 在 容 需 内 的 卷 里 。 


请 读者 使 用 顺手 的 文本 编辑 器 修改 位 于 项 目 目录 下 的 app ,py X 
件 ， 本 书 使 用 的 是 vim 。 


$ vim ~/counter-app/app.py 


修改 第 22 行 位 于 双 引 号 之 间 的 文字 。 这 一 行 以 What's up... 
"开始 ， 读 者 可 在 双 引 号 内 随意 输入 文字 并 保存 。 

更 新 源码 后 ， 将 其 复制 到 Docker 主 机 上 相应 的 卷 中 ， 也 就 是 复制 
到 一 个 或 多 个 容器 的 挂 载 点 (Mount Point) 中 。 使 用 docker 
volume inspect 命令 可 以 查看 着 位 于 Docker 主 机 的 什么 位 置 。 


$ docker volume inspect counterapp_counter-vol | grep Mount 


"Mountpoint": "/var/lib/docker/volumes/counterapp_counter - 


vol/_data", 


复制 文件 后 ， 该 文件 就 会 出 现在 web - fe 容器 的 /code F, Ai 
掉 容器 中 原 有 的 /code/app.py 文件 。 


$ cp ~/counterapp/app.py \ 
/var/lib/docker/volumes/counterapp_counter-vol/_data/app.py 


现在 更 新 的 app.py 文 件 已 经 位 于 容器 中 了 。 请 在 浏览 串 中 通过 
Docker 主 机 的 IP 和 端口 5000 连 接 到 应 用 来 查看 更 新 的 内 容 。 


更 新 后 的 情况 如 图 9.3 所 示 。 


á - 0O x 


D docker-host.. x 
(eM © docker-host:5000 * >> Rae 


Click Refresh if you think Sunderland are the greatest football team 
in the world. You’ve clicked 532592 times. 


图 9.3 更 新 后 的 运行 效果 


r Pa 但 是 在 开发 环境 中 这 确实 很 节省 
时 间 。 


到 此 为 止 ， 本 市 通过 一 个 位 单 的 多 容 吕 应 用 的 例子 ， 介 绍 了 如 何 
Docker Compose 进 行 部 署 和 管理 ， 共 喜 实 践 并 掌握 这 些 操作 的 读 
| 


在 回顾 以 上 所 介绍 的 主要 命令 之 前 ， 需 要 明确 的 是 ， 本 市 
oe Docker Compose FJ 以 用 来 部 署 和 管理 复杂 得 多 的 
MvH e 


9.3 ”使 用 Docker Compose 部 署 应 用 一 一 命令 


docker-compose up 命令 用 于 部 署 一 个 Compose 应 用 。 默 认 情 
况 下 该 命令 会 读 取 名 为 docker-compose,yml docker - 
compose.yaml 的 文件 ， 当 然 用 户 也 可 以 使 用 -f 指定 其 他 文件 
名 。 通 常情 况 下 ， 会 使 用 -d 参 数 令 应 用 在 后 台 启 动 。 
docker-compose stop 命令 会 停止 Compose 应 用 相关 的 所 有 容 
器 ， 但 不 会 删除 它们 。 被 停止 的 应 用 可 以 很 容易 地 通过 docker- 
compose restart 命令 重新 启动 。 

docker-compose rm 命令 用 于 删除 已 停止 的 Compose 应 用 。 它 
会 删除 容器 和 网 络 ， 但 是 不 会 删除 卷 和 镜像 。 
docker-compose restart 命令 会 重启 已 停止 的 Compose 应 
用 。 如 果 用 户 在 停止 该 应 用 后 对 其 进行 了 变更 ， 那 么 变更 的 内 容 
hee 后 的 应 用 中 ， 这 时 需要 重新 部 署 应 用 使 变更 生 

py O 

docker-compose ps 命令 用 于 列 出 Compose 应 用 中 的 各 个 容 
器 。 输 出 内 容 包 括 当前 状态 、 容 器 运行 的 命令 以 及 网 络 端 口 。 
docker-compose down 会 停止 并 删除 运行 中 的 Compose 应 用 。 
它 会 删除 容器 和 网 络 ， 但 是 不 会 删除 着 和 镜像 。 


9.4 ”本 章 小 结 


本 章 介 绍 了 如 何 使 用 Docker Compose 部 团 和 管理 一 个 多 容器 的 应 
用 o 


Docker Compose 是 一 个 基于 Docker Engine 进 行 安装 的 Python 工 
具 。 该 工具 使 得 用 户 可 以 在 一 个 声明 式 的 配置 文件 中 定义 一 个 多 容器 
的 应 用 ， 并 通过 一 个 简单 的 命令 完成 部 署 。 


Compose 文 件 可 以 是 YAML 或 JSON 格 式 ， 其 中 定义 了 所 有 的 容 
右 、 网 络 、 卷 以 及 应 用 所 需 的 密码 。docker -compose 命令 行 工 具 
会 解析 该 文件 ， 并 调用 Docker 来 执行 部 署 。 


一 旦 应 用 完成 部 署 ， 用 户 束 可 以 使 用 不 同 的 docker -compose 
子 命令 来 管理 应 用 的 整个 生命 周期 。 


本 章 还 介绍 了 如 何 使 用 挂 载 卷 来 修改 容 絮 内 的 文件 。Docker 
Compose 在 开发 者 中 得 到 广泛 使 用 ， 而 且 对 应 用 来 说 ，Compose 文 件 
也 是 一 种 非常 不 错 的 文档 一 一 其 中 定义 了 组 成 应 用 的 所 有 服务 ， 它 们 
使 用 的 镜像 、 网 络 和 卷 ， 骏 露 的 端口 ， 以 及 更 多 信息 。 基 于 此 ， 我 们 
可 以 弥合 开发 与 运 维 之 间 的 隔 疼 。Compose 文 件 应 该 被 当 作 代码 ， 
此 应 该 将 其 你 存在 源 控制 库 中 。 


310 Docker Swarm 


本 书 至 此 已 介绍 了 如 何 安 装 Docker、 拉 取 镜 像 以 及 使 用 容器 ， 接 
i a (Scale) 方面 的 。 下 面 有 请 Docker 
Swarm ° 


概括 来 说 ，Swarm 有 两 个 核心 组 件 © 


TEREF ° 


编排 引擎 。 
按照 惯例 ， 本 书 分 为 以 下 3 个 部 分 。 


本 章 示 例 及 其 输出 将 基于 Linux 系 统 的 Swarm。 然 而 ， 大 多 数 命 令 
和 功能 在 Windows 版 Docker 上 同样 适用 。 


简介 


Docker Swarm 包 含 两 方面 ， 一 个 企业 级 的 Docker 安 全 集群 ， 以 及 
一 个 微服 务 应 用 编排 引擎。 


集群 方面 ，Swarm 将 一 个 或 多 个 Docker 点 组 织 起 来 ， 使 得 用 户 
能 够 以 集群 方式 管理 它们 。Swarm 默 认 内 置 有 加 密 的 分 布 式 集群 存储 
(encrypted distributed cluster store) 、 加 密 网 络 (Encrypted 
Network) 、 公 用 TLS (Mutual TLS) 、 安 全 集群 接 入 令 牌 Secure 
Cluster Join Token) 以 及 一 套 简 化 数字 证 书 管理 的 PKI (Public Key 
Infrastructure) 。 用 户 可 以 自如 地 添加 或 删除 节点 ， 这 非常 棒 ! 


编排 方面 ，Swarm 提 供 了 一 套 丰富 的 API 使 得 部 车 和 管理 复杂 的 微 
服务 应 用 变 得 易如反掌 。 通 过 将 应 用 定义 在 声明 式 配 置 义 件 中 ， 束 可 


10.1 Docker Swarm 


以 使 用 原生 的 Docker 命 令 完成 部 署 。 此 外 ， 甚 至 还 可 以 执行 滚动 升 
级 、 回 滚 以 及 扩 缩 容 操 作 ， 同 样 基于 人 简单 的 命令 即 可 完成 。 


以 往 ，Docker Swarm 是 一 个 基于 Docker3| 敬 之 上 的 独立 产品 。 自 
Docker 1.12 版 本 之 后 ， 它 已 经 完全 集成 在 Docker 引 警 中 ， 执 行 一 条 命 
令 即 可 局 用 。 到 2018 年 ， 除 了 原生 Swarm 应 用 ， 它 还 可 以 部 署 和 管理 
ee 。 即便 在 本 书 撰 写 时 ， 对 Kubernetes 应 用 的 支持 也 是 新 
T (0) 


10.2 Docker Swarm 详解 


本 节 将 从 以 下 几 个 方面 展开 。 


Swarm 的 初步 介绍 。 
搭建 一 个 安全 的 Swarm 集群 。 
部 署 Swarm 服 务 。 

问题 定位 。 


本 广 引 入 的 例子 是 基于 Linux 的 ， 但 同样 可 运行 于 Windows。 如 有 
不 同 本 书 将 会 明确 指出 。 


10.2.1 Swarm 的 初步 介绍 


从 集群 角度 来 说 ， 一 个 Swarm 由 一 个 或 多 个 Docker 玉 点 组 成 。 这 
ETH RAAT Dh ce IRA as ` EPEL ` ÆR (Raspberry Pi) 或 云 实 
例 。 唯 一 的 前 提 就 是 要 求 所 有 点 通过 可 靠 的 网 络 相 连 。 


万 点 会 被 配置 为 管理 节点 (Manager) 或 工作 节点 (Worker) 。 管 
理 节 点 负责 集群 控制 面 (Control Plane) ， 进 行 诸如 监控 集群 状态 、 分 
发 任务 至 工作 节点 等 操作 。 工 作 节 点 接收 来 自 管理 节点 的 任务 并 执 
行 。 


Swarm 的 配置 和 状态 信息 保存 在 一 套 位 于 所 有 管理 节点 上 的 分 布 
式 etcd 数 据 库 中 。 该 数据 库 运 行 于 内 存 中 ， 并 保持 数据 的 最 新 状态 。 


天 于 该 数据 库 最 棒 的 是 ， 它 儿 乎 不 需要 任何 配置 一 一 作为 Swarm 的 一 
部 分 被 安装 ， 无 须 管 理 。 


天 于 集群 管理 ， 最 大 的 挑战 在 于 保证 其 安全 性 。 搭 建 Swarm 集 群 
时 将 不 可 避免 地 使 用 TLS， 因 为 它 被 Swarm 紧密 集成 。 在 安全 意识 日 
盛 的 今天 ， 这 样 的 工具 值得 大 力 推广 。Swarm 使 用 TLS 进 行 通信 加 
密 、 节 点 认证 和 角色 授权 。 自 动 密 钥 轮换 (Automatic Key Rotation) 
0 其 在 后 台 默 默 进行 ， 用 户 甚 至 感知 不 到 这 一 功能 的 存 
F! 


关于 应 用 编排 ，Swarm 中 的 最 小 调度 单元 是 服务 。 它 是 随 Swarm 
引入 的 ， 在 API 中 是 一 个 新 的 对 象 元 素 ， 它 基于 容 堪 封装 了 一 些 高 级 
特性 ， 是 一 个 更 高 层次 的 概念 。 


当 容 器 补 封装 在 一 个 服务 中 时 ， 我 们 称 之 为 一 个 任务 或 一 个 副 
本 ， 服 务 中 增加 了 诸如 扩 缩 容 、 滚 动 升级 以 及 简单 回 滚 等 特性 。 


综 上 ， 从 概括 性 的 视角 来 看 Swarm， 如 图 10.1 所 示 。 
如 上 十 关于 Swarm 的 初步 介绍 。 下 面 通过 一 些 示 例 加 以 阐述 。 


分 布 式 集群 存储 | | 
i Web 前 端 服务 i 大 | = 人 QA Token A | | 


出 出 NN 
| 副本 =5 
| 更 新 策略 


| 回 滚 策略 | 


图 10.1 ”从 概括 性 的 视角 看 Swarm 


10.2.2 ”搭建 安全 Swarm 集 群 


本 蔬 会 搭建 一 套 安 全 Swarm 集群 ， 其 中 包含 3 个 管理 入 点 和 3 个 工 
作 下 点 。 读 者 也 可 以 目 行 调整 管理 节点 和 工作 节点 的 数量 、 名 称 和 
IP， 本 书 示例 将 使 用 图 10.2 所 示 的 值 。 


Swarm 
Cal Ced Ce 


al 
G) 


4410.2 ”Swarm 集群 

每 个 节点 都 需要 安装 Docker， 并 且 能 够 与 Swarm 的 其 他 下 点 通 
信 。 如 果 配 置 有 域名 解析 就 更 好 了 一 一 这 样 在 命令 的 输出 中 更 容易 识 
别 出 节 点 ， 也 更 有 利于 排除 故障 。 

在 网 络 方面 ， 需 要 在 路 由 堪 和 防火 墙 中 开放 如 下 端口 。 


e 2377/tcp: 用 于 客户 端 与 Swarm 进行 安全 通信 ° 
e 7946/tcp 与 7946/udp : 用 于 控制 面 gossip 分 发 。 
。4789/udp : 用 于 基于 VXLAN 的 窗 盖 网 络 。 


如 果 满 足以 上 前 提 ， 束 可 以 着 手 开 始 搭建 Swarm 集群 了 。 

搭建 Swarm 的 过 程 有 时 也 被 称 为 初始 化 Swarm， 大 体 流 程 包括 初 
化 第 一 个 管理 节点 > 加 入 额外 的 管理 节点 > 加 入 工作 节点 > 完成 。 
1. 初始 化 一 个 全 新 的 Swarm 


不 包含 在 任何 Swarm 中 的 Docker 节 点 ， 称 为 运行 于 单 引 擎 
(Single-Engine) 模式 。 一 旦 被 加 入 Swarm 集群 ， 则 切换 为 Swarm 模 
式 ， 如 图 10.3 所 示 。 


A) ee- Swarm -一 一 一 一 一 一 一 ) 


Node # | Node # Node # | 
| La ee ma S | | 
式 | Swarm 模式 Swarm 模式 | 


Node #* 


单 引擎 模式 


图 10.3 ”Docker 节 点 加 入 Swarm 集群 


在 单 引 擎 模式 下 的 Docker 主 机 上 运行 docker swarm init 会 将 
其 切换 到 Swarm 模式 ， 并 创建 一 个 新 的 Swarm， 将 目 身 设置 为 Swarm 的 
BM eee 


更 多 的 节点 可 以 作为 管理 节点 或 工作 节点 加 入 进来 。 这 一 操作 也 
会 将 新 加 入 的 节点 切换 为 Swarm 模式 。 


以 下 的 步骤 会 将 mgrl 切换 为 Swarm 模式 ， 并 初始 化 一 个 新 的 
Swarm。 接 下 来 将 wrkl 、wrk2 和 wrk3 作为 工作 节点 接 入 目 动 将 
它们 切换 为 Swarm 模式 。 然 后 将 mgr2 和 mgr3 作为 额外 的 管理 节点 接 
和 入， 并 同样 切换 为 Swarm 模式 。 最 终 有 6 个 世上 点 切换 到 Swarm 模式 ， 并 
运行 于 同一 个 Swarm 中 。 


本 示例 会 使 用 图 10.2 中 所 示 的 各 节点 的 IP 地 址 和 DNS 名 称 。 读 者 
的 可 以 与 其 不 同 。 


(1) 登录 到 mgr1 并 初始 化 一 个 新 的 Swarm (如 果 在 Windows 的 
PowerShell 终 端 执行 如 TFRS, DED ARRERA] 


号 ) 。 


$ docker swarm init \ 
--advertise-addr 10.0.0.1:2377 \ 
--listen-addr 10.0.0.1:2377 


Swarm initialized: current node (d21lyz...c79qzkx) is now a 


e docker swarm init 会 通知 Docker 来 初始 化 一 个 新 的 Swarm , 
目 身 设置 为 第 一 个 管理 节点。 同时 也 会 使 该 节点 开局 Swarm 
RIL O 

e --advertise-addr EHT AAKER] AEE OY 
IP 和 端口 。 这 一 属性 是 可 选 的 ， 当 节点 上 有 多 个 IP 时 ， 可 以 用 于 
指定 使 用 哪个 IP。 此 外 ， 还 可 以 用 于 指定 一 个 节点 上 没有 的 IP， 
比如 一 个 负载 均衡 的 IP 。 

e --listen-addr 指定 用 于 承载 Swarm 流量 的 IP 和 端口 。 其 设置 
通常 与 --advertise-addr 相 匹 配 ， 但 是 当 节 点 上 有 多 个 了 的 
时 候 ， 可 用 于 指定 具体 某 个 IP。 并 且 ， 如 果 - -advertise-addr 
设置 了 一 个 远程 IP 地 址 (如 负载 均衡 的 IP 地 址 ) ， 该 属性 也 是 需 
要 设置 的 。 建 议 执行 命令 时 总 是 使 用 这 两 个 属性 来 指定 具体 IP 和 
端口 。 

Swarm 模式 下 的 操作 默认 运行 于 2337 端 口 。 虽 然 它 是 可 配置 的 ， 
但 2377/tcp 是 用 于 客户 端 与 Swarm 进行 安全 (HTTPS) 通信 的 约定 
俗 成 的 端口 配置 。 


(2) 列 出 Swarm 中 的 节点 。 


$ docker node 1s 
HOSTNAME STATUS AVAILABILITY MANAGER STATUS 


»..Qzkx * mgrt Ready Active Leader 


注意 到 mgrl 是 Swarm 中 唯一 的 和 点， 并 且 作 为 Leader 列 出 ， 稍 后 
再 探讨 这 一 点 。 


(3) 在 mgrl1 上 执行 docker swarm join-token 命 令 来 获取 添加 新 的 
工作 节点 和 管理 节点 到 Swarm 的 命令 和 Token 。 


$ docker Swarm join-token worker 

To add a manager to this swarm, run the following command: 
docker swarm join \ 
--token SWMTKN-1-Quahebax...c87tu8dx2c \ 


10.0.0.1:2377 


$ docker swarm join-token manager 

To add a manager to this swarm, run the following command: 
docker swarm join \ 
--token SWMTKN-1-QOuahebax...ue4hv6ps3p \ 


10.0.0.1:2377 


请 注意 ， 工 作 节 点 和 管理 节点 的 接 入 命令 中 使 用 的 接 入 Token 
(SWMTKN... ) 是 不 同 的 。 因 此 ， 一 个 节点 是 作为 工作 节点 还 是 管 
理 广 点 接 入 ， 完 全 依赖 于 使 用 了 哪个 Token。 接 入 TokenY ZEZE 
管 ， 因 为 这 是 将 一 个 和 点 加 入 Swarm 的 唯一 所 需 ! 


(4) 登录 到 wrk1， 并 使 用 包含 工作 节点 接 入 Token 的 docker 
Swarm join 命令 将 其 授 入 Swarm ° 


$ docker swarm join \ 
--token SWMTKN-1-Quahebax...c87tu8dx2c \ 
10.0.0.1:2377 \ 
--advertise-addr 10.0.0.4:2377 \ 


--listen-addr 10.0.0.4:2377 


This node joined a swarm as a worker. 


--advertise-addr 5--listen-addr 属性 是 可 选 的 。 在 网 
络 配置 方面 ， 请 尽量 明确 指定 相关 参数 ， 这 是 一 种 好 的 实践 。 


(5) 在 wrk2 和 wrk3 上 重复 上 一 步骤 来 将 这 两 个 节点 作为 工作 节 
点 加 入 Swarm。 确保 使 用 - -advertise-addr 57--listen-addr 


属性 来 指定 各 目的 IP 地 址 。 


(6) 登录 到 mgr2 ， 然 后 使 用 含有 管理 节点 接 入 Token 的 docker 
swarm join PE, KAT SAER LET AA Swarm ° 


$ docker swarm join \ 
--token SWMTKN-1-Quahebax...ue4hv6ps3p \ 
10.0.0.1:2377 \ 
--advertise-addr 10.0.0.2:2377 \ 
--listen-addr 10.0.0.1:2377 


This node joined a swarm as a manager. 


(7) 在 mgr3 上 重复 以 上 步骤 ， 记 得 在 - -advertise-addr 与 - 
-listen-addr 属性 中 指定 mgr3 的 IP 地 址 。 


(8) 在 任意 一 个 管理 节点 上 执行 docker node ls 命令 来 列 出 


Swarm 节点 。 


$ docker node ls 
HOSTNAME STATUS AVAILABILITY MANAGER STATUS 
..babl8 * mgr2 Ready Active Reachable 
..lOnyp mgr3 Ready Active Reachable 
. .WMr67 wrk1 Ready Active 


..e4m4n wrk3 Ready Active 
. .9qzkx mgr1 Ready Active Leader 
..15wt6 wrk2 Ready Active 


= | 想必 读者 也 已 经 创建 了 6 个 斑点 的 Swarm ， 其 中 包含 3 个 
理 节 点 和 3 个 工作 节点 。 在 这 个 过 程 中 ， 每 个 节点 的 Docker 引 Ea 
换 到 swarm 模式 下。 贴 ， 的 是 Swarm 已 经 自动 启用 了 TLS 以 策 安 
e 

观察 MANAGER STATUS 一 列 会 发 现 ，3 个 节点 分 另 别 亚 不 
为 “Reachable ”或 *Leader ”。 关 于 主 节 点 稍 后 很 快 会 介绍 到 。 
MANAGER STATUS 一 列 无 任何 显示 的 节点 是 工作 条 点。 注意 ，mgr2 
的 ID 列 还 显示 了 一 个 星 号 (*) ， 这 个 星子 会 告知 用 户 执行 docker 
node ls 命令 所 在 的 节点 。 本 例 中 ， 命 令 是 在 mgr2 下 点 执行 的 。 


每 次 将 节点 加 入 Swarm 都 指定 - -advertise-addr 5--listen-addr 属性 

是 痛苦 的 。 然 而 ， 一 旦 Swarm 中 的 网 络 配 置 出 现 问 题 将 会 更 加 痛苦 。 况 旦 ， 手 动 将 
节点 加 入 Swarm 也 不 是 一 种 日 常 操作 ， 所 以 在 执行 该 命令 时 额外 指定 这 两 个 属性 是 
值得 的 。 不 过 选择 权 在 读者 手中 。 对 于 实验 环境 ， 或 节点 中 只 有 一 个 IP 的 情况 来 
说 ， 也 许 并 不 需要 指定 它们 。 


现在 已 经 有 一 个 运行 中 的 Swarm 了 ， 下 面 看 一 下 如 何 进行 高 可 用 
(HA) 管理 。 


2. Swarm 管理 器 高 可 用 性 (HA) 


至 此 在 Swarm 中 已 经 加 入 了 3 个 管理 万 点 。 为 什么 添加 3 个 ， 以 及 
它们 如 何 协 同 工 作 ? 本 市 将 就 此 以 及 更 多 问题 展开 介绍 。 


Swarm 的 管理 世 点 内 置 有 对 HA 的 文 持 。 这 意味 着 ， 即 使 一 个 或 多 
STAC BRE, RR PET th RA PRLS warm iB FX © 


从 技术 上 来 说 ，Swarm 实 现 了 一 种 主 从 方式 的 多 管理 和 点 的 HA。 
这 意味 着 ， 即 使 你 可 能 一 一 并 且 应 该 一 一 有 多 个 管理 节点 ， 也 总 是 仪 
有 一 个 广 点 处 于 活动 状态 。 通 常 处 于 活动 状态 的 管理 方 点 被 称 为 “ 主 方 
A”? (leader) ， 而 主 节 点 也 是 唯一 一 个 会 对 Swarm 发 送 控 制 命令 的 节 
点 。 也 辟 是 说 ， 只 有 主 忆 点 才 会 变更 配置 ， 或 发 送 任务 到 工作 和 点 。 
如 果 一 个 备用 〈 非 活动 ) 管理 节点 接收 到 了 Swarm 命令 ， 则 它 会 将 其 
BE UR ETT Lo 
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又 C@) 指 主 节点 对 Swarm 执行 命令 。 


= 
aiid 传 入 的 命令 


图 10.4 10.2.3 Swarm 的 高 可 用 (HA) 管理 


仔细 观察 图 10.4 的 读者 会 发 现 ， 管 理 和 点 或 者 是 Leader 或 者 是 
Follower 。 这 是 Raft 的 术语 ， 因 为 Swarm 使 用 了 Raft 共 识 算法 的 一 种 具 
体 实现 来 支持 管理 节点 的 HA。 关 于 HA， 以 下 是 两 条 最 佳 实 践 原则 。 


。 部署 奇数 个 管理 节点 。 l 
。 不 要 部 署 太 多 管理 节点 (建议 3 个 或 5 个 ) 。 


METANET ANTRO RR (Split-Brain) 情况 的 出 现 机 
会 。 假 如 有 4 个 管理 节点 ， 当 网 络 发 生 分 区 时 ， 可 能 会 在 每 个 分 区 有 两 
个 管理 节点 。 这 种 情况 被 称 为 脑 腹 一 一 每 个 分 区 都 知道 曾经 有 4 个 区 
点 ， 但 是 当前 网 络 中 仅 有 两 个 节点 。 精 糕 的 征 ， 每 个 分 区 都 无 法 知道 
其 余 两 个 节点 是 否 运 行 ， 也 无 从 得 知 本 分 区 是 否 掌握 大 多 数 
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配置 ， 或 增加 和 管理 应 用 负载 了 。 


不 过 ， 如 果 部 署 有 3 个 或 5 个 管理 入 点， 并且 也 发 生 了 网 络 分 区 ， 
就 不 会 出 现 每 个 分 区 拥有 同样 数量 的 管理 世上 点 的 情况 。 这 意味 着 掌握 
多 数 管理 证 点 的 分 区 能 够 继续 对 集群 进行 管理 。 图 10.5 中 右 侧 的 例 
子 ， 阐 释 了 这 种 情况 ， 左 侧 的 分 区 知道 目 己 掌握 了 多 数 的 管理 入 点 。 


对 于 所 有 的 共识 算法 来 说 ， 更 多 的 参与 节点 就 意味 着 需要 花费 更 
多 的 时 间 来 达成 共识 。 这 就 像 决 定 去 哪 吃饭 一 一 只 有 3 个 人 的 时 候 总 是 
比 有 33 个 人 的 时 候 能 更 快 确定 。 考 虑 到 这 一 点 ， 最 佳 的 实践 原则 是 音 
署 3 个 或 5 个 节点 用 于 HA。7 个 节点 可 以 工作 ， 但 是 通常 认为 3 个 或 5 个 
是 更 优 的 选择 。 当 然 绝对 不 要 多 于 7 个 ， 因 为 需要 花费 更 长 的 时 间 来 达 


成 共识 。 


eee ea 
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10.5 ”多 数 管理 节点 的 分 区 继续 对 集群 进行 管理 


关于 管理 廊 点 的 HA 再 补充 一 点 。 显 然 将 管理 节点 分 布 到 不 同 的 可 
用 域 (Availability Zone) 中 是 一 种 不 错 的 实践 方式 ， 但 是 一 定 要 确保 
它们 之 间 的 网 络 连接 是 可 靠 的， 否则 由 于 底层 网 络 分 区 导致 的 问题 将 
是 令 人 痛 苗 的 ! 这 意味 着 ， 在 本 书 撰写 时 ， 将 生产 环境 的 应 用 和 基础 
设置 部 署 在 多 个 不 同 的 公有 云 (例如 AWS 和 Azure) 上 的 想法 仍然 是 
天 方 夜 谭 。 请 一 定 要 确保 管理 节点 之 间 是 有 高 速 可 靠 的 网 络 连接 的 ! 


3. 内 置 的 Swarm 安 全 机 制 


Swarm 集群 内 置 有 繁多 的 安全 机 制 ， 并 提供 了 开 箱 即 用 的 合理 的 
默认 配置 如 CA 设置 、 接 入 Token、 公 用 TLS、 加 密集 群 存储 、 加 
密 网 络 、 加 密 节 点 ID 等 。 更 多 细节 请 阅读 第 15 章 。 


4. 锁定 Swarm 


尽管 内 置 有 如 此 多 的 原生 安全 机 制 ， 重 局 一 个 旧 的 管理 节点 或 进 
行 备份 恢复 仍 有 可 能 对 集群 造成 影响 。 一 个 旧 的 管理 节点 重新 接 入 
Swarm 会 目 动 解密 并 获得 Raft 数 据 库 中 长 时 间 序列 的 访问 权 ， 这 会 市 
来 安全 隐患 。 进 行 备份 恢复 可 能 会 抹 掉 最 新 的 Swarm 配置 。 


为 了 规避 以 上 问题 ，Docker 提 供 了 目 动 锁 机 制 来 锁定 Swarm， 这 
peal 要 求 重 局 的 管理 节点 在 提供 一 个 集群 解锁 码 之 后 才 有 权 从 新 接 


通过 在 执行 docker swarm init 命令 来 创建 一 个 新 的 Swarm 集 
群 时 传 入 - -autolock 参数 可 以 直接 启用 锁 。 然 和 而， 前面 已 经 搭建 了 
一 个 Swarm 集群 ， 这 时 也 可 以 使 用 docker swarm update 命令 来 启 
用 锁 。 


在 某 个 Swarm 管理 节点 上 运行 如 下 命令 。 


$ docker swarm update --autolock=true 

Swarm updated. 

To unlock a swarm manager after it restarts, run the 
“docker swarm unlock command and provide the following key: 


SWMKEY - 1-5+ICW2kRxPxZrVyBDWZBkzZdSd0Yc7C1204Uuf 9NPU4 


Please remember to store this key in a password manager, since 
without 


it you will not be able to restart the manager. 


请 确保 将 解锁 码 妥善 保管 在 安全 的 地 方 ， 


”” 重 局 茶 一 个 管理 广 点 ， 以 便 观察 其 是 否 能 够 目 动 重新 授 入 集群 。 
读者 可 以 在 以 下 命令 前 添加 sudo 执 行 。 


$ service docker restart 


党 试 列 出 Swarm 中 的 节点 。 


$ docker node ls 
Error response from daemon: Swarm is encrypted and needs to be 
unlocked 


before it can be used. 


尽管 Docker 服 务 已 经 重 局 ， 该 管理 点 仍然 未 被 允许 重新 接 入 集 
群 。 为 了 进一步 验证 ， 读 者 可 以 到 其 他 管理 节点 执行 docker node 
1s 命令 ， 会 发 现 重 启 的 管理 节点 会 显示 down 以 及 unreachable 。 


执行 docker swarm unlock 命令 来 为 重启 的 管理 节点 解锁 
Swarm。 该 命令 需要 在 重启 的 节点 上 执行 ， 同 时 需要 提供 解锁 码 。 


$ docker swarm unlock 
Please enter unlock key: <enter your key> 


该 节点 将 被 允许 重新 接 入 Swarm， 并 且 再 次 执行 docker node 
ls 命令 会 显示 ready 和 reachable ° 

至 此 ，Swarm 集 群 已 经 搭建 起 来 ， 并 且 对 主 和 点 和 管理 节点 HA 有 
了 一 定 了 解 ， 下 面 开 始 介绍 服务 。 
10.2.3 ”Swarm 服务 

本 节 介 绍 的 内 容 可 以 使 用 Docker Stack (第 14 章 ) 进一步 改进 。 然 
而 ， 本 章 的 概念 对 于 准备 第 14 章 的 学 习 是 非常 重要 的 。 


忠 像 在 Swarm 初 步 介绍 中 提 到 的 ， 服 务 古 目 Docker 1.12 后 新 引入 
的 概念 ， 并 且 仅 适用 于 Swarm 模式 。 
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用 服务 的 期 望 状态 ， 将 其 告知 Docker 后 ，Docker 会 负责 进行 服务 的 部 
区 和 管理 。 举 例 说 明 ， 假 如 茶 应 用 有 一 个 web 前端 服务， 该 服务 有 相 
应 的 镜像 。 测 试 表明 对 于 正常 的 流量 来 说 5 个 实例 可 以 应 对 。 那 么 加 可 
以 将 这 一 需求 转换 为 一 个 服务 ， 该 服务 声明 了 容器 使 用 的 镜像 ， 并 且 
服务 应 该 总 是 有 5 个 运行 中 的 副本 。 


我 们 稍 后 再 介绍 声明 服务 过 程 中 的 其 他 参数 ， 在 此 之 前 ， 首 先 看 
如 何 创建 刚刚 描述 的 内 容 。 


使 用 docker service create 命令 创建 一 个 新 的 服务 。 


在 Windows 上 创建 新 服务 的 命令 也 是 一 样 的 。 然 而 本 例 中 使 用 的 是 Linux 镜 像 ， 
它 在 Windows 上 并 不 能 运行 。 请 使 用 Windows 的 读者 将 镜像 蔡 换 为 一 个 Windows Web 
Server 的 镜像 ， 以 便 能 正常 运行 。 再 次 强调 ， 在 PowerShell 终 端 中 输入 命令 的 时 候 ， 

使 用 反 引 号 C) 进行 换行 。 


$ docker service create --name web-fe \ 
-p 8080:8080 \ 
--replicas 5 \ 


nigelpoulton/pluralsight -docker-ci 


z7ovearqmruwkOu2vc507q10p 


请 注意 ， 该 命令 与 熟悉 的 docker container run 命令 的 许多 


参数 是 相同 的 。 这 个 例子 中 ， 使 用 - -name 和 -p 定义 服务 的 方式 ， 与 
单机 局 动容 器 的 定义 方式 是 一 样 的 。 


回顾 一 下 命令 和 输出 。 使 用 docker service creale 命令 告 
知 Docker 正 在 声明 一 个 新 服务 ， 并 传递 - -name 参数 将 其 命名 为 web - 
fe 。 将 每 个 和 点 上 的 8080 端 口 映 映 到 服务 副本 内 部 的 8080 端 口 。 接 下 
来 ， 使 用 - -replicas 参数 告知 Docker 应 该 总 是 有 5 个 此 服务 的 副 
本 。 最 后 ， 告 知 Docker 哪 个 镜像 用 于 副本 一 一 重要 的 是 ， 要 了 解 所 有 
的 服务 副本 使 用 相同 的 镜像 和 配置 。 
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注意 管理 节点 也 会 作为 工作 节点 运行 。 相 关 各 工作 节点 或 管理 节点 会 
拉 取 镜像 ， 然 后 启动 一 个 运行 在 8080 端 口上 的 容器 。 

A 


这 还 没有 结束 。 所 有 的 服务 都 会 被 Swarm 持续 监控 Swarm 会 
在 后 台 进 行 轮 训 检 查 (Reconciliation Loop) ， 来 持续 比较 服务 的 实际 
状态 和 期 望 状态 是 否 一 致 。 如 果 一 致 ， 则 绷 大 欢喜 ， 无 须 任何 额外 操 
YE; 如 果 不 一 致 ，Swarm 会 使 其 一 致 。 换 句 话说 ，Swarm 会 一 直人 确保 
实际 状态 能 够 满足 期 望 状 态 的 要 求 。 


举例 说 明 ， 假 如 运行 有 web-fe 副本 的 某 个 工作 节点 宕 机 了 ， 则 
web-fe 的 实际 状态 从 5 个 副本 降 为 4 个 ， 从 而 不 能 满足 期 望 状态 的 要 
求 。Docker 变 回 启动 一 个 新 的 web-fe 副本 来 使 实际 状态 与 期 望 状态 保 
持 一 致 。 这 一 特性 功能 强大 ， 使 得 服务 在 面 对 了 点 宕 机 等 问题 时 具有 


自 愈 能 力 。 
1. 查看 服务 


使 用 docker service ls 命令 可 以 查看 Swarm 中 所 有 运行 中 的 


$ docker service ls 
ID NAME MODE REPLICAS IMAGE 
ZzZ70...UW web-fe replicated 5/5 nigel...ci:latest 


* :8080->8080/tcp 


输出 显示 有 一 个 运行 中 的 服务 及 其 相关 状态 信息 。 比 如 ， 可 以 了 
解 服务 的 名 称 ， 以 及 5 个 期 望 的 副本 〈 容 器) 中 有 5 个 是 运行 状态 。 如 
果 在 部 署 服务 后 立即 执行 该 命令 ， 则 可 能 并 非 所 有 的 副本 都 处 于 运行 
状态 。 这 通常 取决 于 各 个 市 点 拉 取 镜像 的 时 间 。 


执行 docker service ps 命令 可 以 查看 服务 副本 列表 及 各 副本 
的 状态 。 


$ docker service ps web-fe 
ID NAME IMAGE NODE DESIRED CURRENT 
817. ..f6z web-fe.1 nigelpoulton/... mgr2 Running Running 2 


aid...mzn web-fe.2 nigelpoulton/... wrki Running Running 2 mins 
ccO...arQ web-fe.3 nigelpoulton/... wrk2 Running Running 2 mins 
6fO...azu web-fe.4 nigelpoulton/... mgr3 Running Running 2 mins 
dyl...p3e web-fe.5 nigelpoulton/... mgri Running Running 2 mins 


此 命令 格式 为 docker service ps <service-name or 
serviceid>。 每 一 个 副本 会 作为 一 行 输出 ， 其 中 显示 了 各 副本 分 别 
运行 在 Swarm 的 哪个 节点 上 ， 以 及 期 望 的 状态 和 实际 状态 。 


关于 服务 更 为 详细 的 信息 可 以 使 用 docker service inspect 


$ docker service inspect --pretty web-fe 
: z7ovearqmruwk0u2vc507ql0p 
Service 
Replicated 
Replicas: 5 
Placement: 
UpdateConfig: 
Parallelism: 1 
On failure: pause 
Monitoring Period: 5s 
Max failure ratio: 0 
Update order: stop-first 
RollbackConfig: 


Parallelism: 1 


On failure: pause 

Monitoring Period: 5s 

Max failure ratio: 0 

Rollback order: stop-first 
ContainerSpec: 

Image: nigelpoulton/pluralsight -docker - 
ci:latest@sha256:7a6b01...d8d3d 
Resources: Endpoint 
Mode: vip Ports: 

PublishedPort = 8080 

Protocol = tcp 

TargetPort = 8080 

PublishMode = ingress 


以 上 例子 使 用 了 - -pretty 参数 ， 限 制 输出 中 仅 包 含 最 感 兴趣 的 
内 容 ， 并 以 易于 阅读 的 格式 打印 出 来 。 不 加 - -pretty 的 话 会 给 出 更 


加 详尽 的 输出 。 强烈 建议 读者 能 够 通读 docker inspect 命令 的 输 
出 内 容 ， 其 中 不 仅 包含 大 量 信息 ， 也 是 了 解 底层 运行 机 制 的 途径 。 


稍 后 还 会 再 次 探讨 输出 中 的 部 分 内 容 。 


2. 副本 服务 vs 全 局 服务 


服务 的 默认 复制 模式 (Replication Mode) 是 副本 模式 
(replicated) 。 这 种 模式 会 部 署 期 望 数量 的 服务 副本 ， 并 尽 可 能 
均匀 地 将 各 个 副本 分 布 在 整个 集群 中 。 


另 一 种 模式 是 全 局 模式 global ) ， 在 这 种 模式 下 ， 每 个 节点 
上 仅 运行 一 个 副本 。 


可 以 通过 给 docker service create 命令 传递 - -mode 
global 参数 来 部 署 一 个 全 局 服务 。 


3. 服务 的 扩 缩 容 


服务 的 另 一 个 强大 特性 是 能 够 方便 地 进行 扩 缩 容 。 


假设 业务 呈 爆 发 式 增 长 ， 则 Web 前 端 服务 接收 到 双 倍 的 流量 压 
力 。 所 六 通过 一 个 简单 的 docker service scale 命令 即 可 对 web- 
fe 服务 进行 扩容 。 


$ docker service scale web-fe=10 
web-fe scaled to 10 


该 命令 会 将 服务 副本 数 由 5 个 增加 到 10 个 。 后 台 会 将 服务 的 期 望 状 
态 从 5 个 增加 到 10 个 。 运 行 docker service ls 命令 来 检查 操作 是 


TEJ) ° 


$ docker service ls 
ID NAME NODE REPLICAS IMAGE PORTS 
Z70...UW web-fe replicated 10/10 nigel...ci:latest 


* :8080->8080/tcp 


执行 docker service ps 命令 会 显示 服务 副本 在 各 个 节点 上 是 
均衡 分 布 的 。 


$ docker Service ps web-fe 
NAME IMAGE DESIRED CURRENT 
web-fe.1 nigelpoulton/... Running Running 
..e3e web-fe.2 nigelpoulton/... Running Running 


..gf6 web-fe.3 nigelpoulton/... Running Running 


..6ak web-fe. nigelpoulton/... Running Running 


..fyy web-fe. nigelpoulton/... Running Running 


..m49 web-fe. igelpoulton/... Running Running 
a min 
, .51S web-fe. nigelpoulton/... Running Running 
a min 
..rjf web-fe.8 nigelpoulton/... Running Running 
a mins 
..fvu  web-fe.9 nigelpoulton/... Running Running 
seconds ago 
17k...jkv web-fe.10 nigelpoulton/... Running Running 
seconds ago 
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衡 分 配给 Swarm 中 的 所 有 市 点 。 人 至 本 书 撰写 时 ， 各 节点 分 配 的 副本 数 
是 平均 分 配 的 ， 并 未 将 CPU 负载 等 指标 考虑 在 内 。 


再 次 执行 docker service scale 命令 将 副本 数 从 10 个 降 为 5 
个 
| O 


$ docker service scale web-fe=5 
web-fe scaled to 5 
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4. 删除 服务 


删除 一 个 服务 的 操作 相对 比较 简单 一 一 也 许 太 简 单 了 。 
如 下 docker service rm 命令 可 用 于 删除 之 前 部 署 的 服务 。 


$ docker service rm web-fe 
web-fe 


执行 docker service ls 命令 以 验证 服务 确实 已 被 删除 。 


$ docker service ls 
ID NAME MODE REPLICAS IMAGE PORTS 


请 谨慎 使 用 docker service rm 命令 ， 因 为 它 在 删除 所 有 服务 
副本 时 并 不 会 进行 确认 。 


了 解 了 如 何 删除 一 个 服务 ， 下 面 介 绍 一 下 如 何 对 一 个 服务 进行 次 
动 升级 。 
5. 滚动 升级 

对 部 署 的 应 用 进行 滚动 升级 是 常见 的 操作 。 长 期 以 来 ， 这 一 过 程 
是 令 人 痛苦 的 。 我 曾经 牺牲 了 许多 的 周末 时 光 来 进行 应 用 程序 主 版 本 
的 升级 ， 而 且 再 也 不 想 这 样 做 了 。 


然而 ， 多 亏 了 Docker 服 务 ， 对 一 个 设计 民 好 的 应 用 来 说 ， 实 施 深 
动 升级 已 经 变 得 简单 多 了 | 


为 了 演示 如 何 操 作 ， 下 面 将 部 敬一 个 新 的 服务 。 但 是 在 此 之 前 ， 


先 创 建 一 个 新 的 覆盖 网 络 (Overlay Network) 给 服务 使 用 。 这 并 非 必 
n 但 本 书 硕 望 读 者 能 够 了 解 如 何 创建 网 络 并 将 服务 接 入 网 


$ docker network create -d overlay uber-net 
A3wf p6pzea470et4d57udn9ws 


[L Cfñk 

该 命令 会 创建 一 个 名 为 uber -net 的 覆盖 网 络 ， 接 下 来 会 将 其 与 
要 创建 的 服务 结合 使 用 。 徐 雷 网 络 十 一 个 二 层 网 络 ， 容 器 可 以 接 入 该 
网 络 ， 并 且 所 有 接 入 的 容器 均 可 互相 通信 。 有 即使 这 些 容器 所 在 的 
Docker 主 机 位 于 不 同 的 底层 网 络 上 ， 该 窗 蓄 网 络 依然 钙 相 通 的 。 本 质 
和 窗 主 网 络 是 创建 于 底层 异 构 网 络 之 上 的 一 个 新 的 二 层 容 占 网 


如 图 10.6 所 示 ， 两 个 底层 网 络 通过 一 个 三 层 交 换 机 和 连接， 而 基于 
这 两 个 网 络 之 上 是 一 个 履 盖 网 络 。Docker 主 机 通过 两 个 底层 网 络 相 
连 ， 而 容 右 则 通过 禾 盖 网 络 相 连 。 对 于 同一 覆 坊 网 络 中 的 容器 来 说 ， 
mie A 下 的 Docker 主 机 接 入 的 是 不 同 的 底层 网 络 ， 也 是 互通 


mm = ol 


Overlay K 43 (10.0.0.0/24) 


本 < 


网 络 A = ai 网 络 B 


人 三 一 172.31.4.0/24 VS Aa 172.30.12.0/24 Vw 


Pm 节点 PA 节点 


图 10.6 ”两 个 底层 网 络 通过 一 个 三 层 交 换 机 连接 


执行 docker network ls 来 查看 网 络 是 否 创建 成 功 ， 且 在 
Docker 主 机 可 见 。 


$ docker network 1s 


NETWORK ID NAME DRIVER SCOPE 
<Snip> 


43wfp6pzea47 uber -net 


overlay swarm 


aL, uber-net 网 络 已 被 成 功 创建 ， 其 SCOPE 为 Swarm ， 并 且 
目前 仅 在 Swarm 的 管理 节点 可 见 。 


下 面 创 建 一 个 新 的 服务 ， 并 将 其 接 入 uber-net 网 络 。 


$ docker service create --name uber-svc \ 
--network uber-net \ 


-p 80:80 --replicas 12 \ 
nigelpoulton/tu-demo: vi 


dhbtgvqrg2q4sg07ttfuhg8nz 


看 一 下 上 面 的 docker service create 命令 中 做 了 哪些 声 


HH 。 


首先 ， 将 服务 命名 为 uber -svc ， 并 用 - -network 参数 声明 所 
有 的 副本 都 连接 到 uber-net 网 络 。 然 后 ， 在 整个 swarm 中 将 80 端 口 
暴露 出 来 ， 并 将 其 映射 到 12 个 容器 副本 的 80 端 口 。 最 后 ， 声 明 所 有 的 
副本 都 基于 nigelpoulton/tu-demo:v1 镜像 。 


执行 docker service ls 和 docker service ps 命令 以 检 


查 狐 创建 服务 的 状态 。 


$ docker service ls 


ID 


dhbtgvqrg2q4 


NAME 


uber-svc 


REPLICAS 
12/12 


$ docker service ps uber-svc 


ID 


NAME 


CURRENT STATE 


Ov...7e5 
Running 1 
bh. ..wa0 
Running 1 
23. ..U97 
Running 1 
82. ..5y1 
Running 1 
c3...gny 
Running 1 
e6...3u0 
Running 1 
78. ..r7Zz 
Running 1 
2m...kdz 
Running 1 
b9...k7w 
Running 1 
ag...v16 


uber-svc.1 
min 
uber-svc.2 
min 
uber-svc.3 
min 
uber-svc.4 
min 
uber-svc.5 
min 
uber-svc.6 
min 
uber-svc.7 
min 
uber-svc.8 
min 
uber-svc.9 
min 
uber-svc.10 


IMAGE 


nigelpoulton/... 
nigelpoulton/... 
nigelpoulton/... 
nigelpoulton/... 
nigelpoulton/... 
nigelpoulton/... 
nigelpoulton/... 
nigelpoulton/... 
nigelpoulton/... 


nigelpoulton/... 


IMAGE 
nigelpoulton/tu-demo: vi 


:V1 


:V1 


:V1 


:V1 


:V1 


:V1 


:V1 


:V1 


:V1 


ivi 


NODE 
wrk3 
wrk2 
wrk2 
mgr2 
wrk3 
wrk1 
wrk1 
mgr3 
mgr3 


mgr2 


DESIRED 
Running 
Running 
Running 
Running 
Running 
Running 
Running 
Running 
Running 


Running 


Running 1 min 
e6...dfk uber-svc.11 nigelpoulton/...:v1 mgri Running 
Running 1 min 
e2...k1j uber-svc.12 nigelpoulton/...:v1 mgri Running 
Running 1 min 


通过 对 服务 声明 -p 80:80 参数 ， 会 建立 Swarm 集群 范围 的 网 络 
流量 映射 ， 到 达 Swarm 任 何 节 点 80 端 口 的 流量 ， 都 会 映射 到 任何 服务 
副本 的 内 部 80 端 口 。 


默认 的 模式 ， 是 在 Swarm 中 的 所 有 市 点 开放 病 口 一 一 即使 节点 上 


没有 服务 的 副本 一 一 称 为 入 站 模式 (Ingress Mode) 。 此 外 还 有 主机 模 
式 (Host Mode) ， 即 仅 在 运行 有 容器 副本 的 节点 上 开放 端口 。 以 主机 
模式 开放 服务 端口 ， 需 要 较 长 格式 的 声明 语法 ， 代 码 如 下 。 


docker service create --name uber-svc \ 
--network uber-net \ 
--publish published=80, target=80,mode=host \ 


--replicas 12 \ 
nigelpoulton/tu-demo: vi 
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面 ， 碍 看 服务 运行 情况 ， 如 图 10.7 所 示 。 


二 mm | 口 x 
Football VS Sı 1 x 


全 Le IP or DNS of any node in the swarm | 作 = 


Football VS Soccer! 


FOOTBALL 


SOCCER 


图 10.7 ”投票 程序 


如 读者 所 见 ， 这 是 一 个 简单 的 投票 程序 ， 它 能 够 注册 
对 “footbal”* 或 “soccer” 的 投票 。 读 者 可 随意 在 浏 贤 絮 中 使 用 其 他 市 点 的 
IP， 均 能 够 打开 该 页 面 ， 因 为 -p 80:80 参数 会 在 所 有 Swarm 点 创 
建 一 个 入 站 模式 的 端口 映 冉 。 即 使 某 个 诈 点 上 并 未 运行 服务 的 副本 ， 
依然 可 以 进入 该 页 面 一 一 所 有 节点 都 配置 有 映射 ， 因 此 会 将 请 求 转发 
给 运行 有 服务 副本 的 节点 。 


假设 本 次 投票 已 经 结束 ， 而 公司 希望 开启 一 轮 新 的 投票 。 现 在 已 
经 为 下 一 轮 投票 构建 了 一 个 新 镜像 ， 并 推送 到 了 Docker Hb, W 
镜像 的 tag 由 v1 变更 为 v2 。 


此 外 还 假设 ， 本 次 升级 任务 在 将 新 镜像 更 新 到 Swarm 中 时 采用 一 
种 阶段 性 的 方式 一 每 次 更 新 两 个 副本 ， 并 且 中 间 间 隔 20s。 那 么 就 可 
以 采用 如 下 的 docker service update 命令 来 完成 。 


$ docker service update \ 
--image nigelpoulton/tu-demo:v2 \ 
--update-parallelism 2 \ 


--update-delay 20s uber-svc 


仔细 观察 该 命令 ，docker service update 通过 变更 该 服务 
期 望 状 态 的 方式 来 更 新 运行 中 的 服务 。 这 一 次 我 们 指定 了 tag 为 v2 的 
新 镜像 。 接 下 来 用 - -update-parallelism 和 --update-delay 
参数 声明 每 次 使 用 新 镜像 更 新 两 个 副本 ， 其 间 有 20s 的 延迟 。 最 终 ， 告 
知 Docker 以 上 变更 是 对 uber -svc 服务 展开 的 。 


如 果 对 该 服务 执行 docker service ps 命令 会 发 现 ， 有 些 副 本 
的 版 本 号 是 v2 而 有 些 依然 是 v1 。 如 果 给 予 该 操作 足够 的 时 间 
(4min) ， 则 所 有 的 副本 最 终 都 会 达到 新 的 期 望 状态 ， 即 基于 v2 版 本 
的 镜像 。 


$ docker service ps uber-svc 


ID NAME IMAGE NODE DESIRED CURRENT 
STATE 

7Z...nyS Uber-svc.1 nigel...v2 mgr2 Running Running 13 
secs 


Ov...7e5 \_uber-svc.1 nigel...v1 wrk3 Shutdown Shutdown 13 


bh...waQ uber-svc.2 nigel...vi wrk2 Running Running 1 min 


e3...gr2 uber-svc.3 nigel...v2 wrk2 Running Running 13 


23. ..u97 \_uber-svc.3 nigel...vi wrk2 Shutdown Shutdown 13 


82. ..5y1 uber-svc.4 nigel...v1 mgr2 Running Running 1 min 
c3...gny uber-svc.5 nigel...vi wrk3 Running Running 1 min 
e6...3uQ0 uber-svc.6 nigel...vi wrki1 Running Running 1 min 
78. ..r7z uber-svc.7 nigel...v1 wrki Running Running 1 min 
2m...kdz uber-svc.8 nigel...v1 mgr3 Running Running 1 min 
b9...k7w uber-svc.9 nigel...vi mgr3 Running Running 1 min 
ag...v16 uber-svc.10 nigel...vi mgr2 Running Running 1 min 
e6...dfk uber-svc.11 nigel...v1 mgri Running Running 1 min 
e2...k1j uber-svc.12 nigel...vi mgri Running Running 1 min 


QU FRE TE ED RERA FP hae, Swarm P(E R 
的 IP 进 入 页 面 ， 并 多 次 单 击 刷 新 按钮 ， 束 会 看 到 深 动 更 新 的 效果 。 有 
些 请 求 会 被 旧版 本 的 副本 人 处理 ， 而 有 些 请 求 会 被 新 版 本 的 副本 处 理 。 
一 段 时 间 之 后 ， 所 有 的 请 求 都 会 被 新 版 本 的 服务 副本 处 理 。 


T= o 想必 读者 也 完成 了 对 运行 中 的 容器 化 应 用 程序 的 滚动 更 
新 。 请 注意 ， 在 第 14 半 会 介绍 Docker Stack 如 何 将 这 一 操作 进一步 优化 
提升 。 


此 时 如 果 对 服务 执行 docker inspect --pretty 命令 ， 会 发 
现 更 新 时 对 并 行 和 延迟 的 设置 已 经 成 为 服务 定义 的 一 部 分 了 。 这 意味 
着 ， 之 后 的 更 新 操作 将 会 自动 使 用 这 些 设 置 ， 直 到 再 次 使 用 docker 


service update 命令 覆盖 它们 。 


$ docker service inspect --pretty uber-svc 


ID: mubO@dgtc8szm80ez5bs8wlt19 
Name:Service uber-svc 
Mode: Replicated 
Replicas: 12 
UpdateStatus: 
State: updating 
Started: About a minute 
Message: update in progress 
Placement: 
UpdateConfig: 
Parallelism: 2 
Delay: 20s 
On failure: pause 


Monitoring Period: 5s 
Max failure ratio: 0 


Update order: stop-first 


RollbackConfig: 
Parallelism: 1 
On failure: pause 


Monitoring Period: 5s 
Max failure ratio: 0 


Rollback order: stop-first 
ContainerSpec: 
Image: nigelpoulton/tu- 


demo: v2@sha256:d3c0d8c9...cfOef2ba5eb74c 
Resources: Networks: 

uber-net Endpoint 

Mode: vip Ports: 


PublishedPort = 80 
Protocol = tcp 
TargetPort = 80 
PublishMode = ingress 


如 上 还 应 注意 到 关于 服务 的 网 络 配置 的 内 容 。Swarm 中 的 所 有 运 
行 副 本 的 节 所 都 会 使 用 前 面 创建 的 uber -net 履 盖 网 络 。 读 者 可 以 通 
过 在 运行 副本 的 任 一 节点 执行 docker network ls 命令 来 验证 这 一 
点 。 


HEAR, a D 输出 的 Networks mbar, AMM 
显示 了 uber -net 了 网络， 还 显示 了 Swarm 范围 的 80:80 BL 。 


10.2.4 ”故障 排除 


Swarm 服务 的 日 志 可 以 通过 执行 docker service logs 命令 来 
查看 ， 然 而 并 非 所 有 的 日 志 驱 动 (Logging Driver) 都 文 持 该 命令 。 


Docker 节 点 默认 的 配置 是 ， 服 务 使 用 json-file HRK, H 
他 的 驱动 还 有 journald 《〈 仅 用 于 运行 有 systemd 的 Linux 主 机 ) ` 
syslog ` splunk 和 gelf 。 


json-file 和 journald 是 较 容 易 配置 的 ， 二 者 都 可 用 于 
docker service logs 命令 。 命 令 格 式 为 docker service 
logs <service-name> 。 


ae eae 那么 就 需要 用 相应 日 志平 台 的 原生 工具 
E Him ° 


如 下 是 在 daemon .json 配置 文件 中 定义 使 用 syslog 作为 日 志 
驱动 的 示例 。 


{ 
"log-driver": "syslog" 
} 


通过 在 执行 docker service create 命令 时 传 入 - - 
logdriver All--log-opts 参数 可 以 强制 某 服 务 使 用 一 个 不 同 的 日 
志 驱 动 ， 这 会 覆盖 daemon. json 中 的 配置 。 


服务 日 志 能 够 正常 工作 的 前 提 是 gates 用 程序 运行 于 PID 
为 1 的 进程 ， 并 且 将 日 志 发 送 给 “STDOUT , 错误 信息 发 送 给 STDERR 。 
日 志 了 驱动 会 将 这 些 日 志 转 发 到 其 配置 指 定 的 位 置 。 


如 下 的 docker service logs 命令 示例 显示 了 服务 svc1 的 所 
有 副本 的 日 志 ， 可 见 该 服务 在 启动 副本 时 出 现 了 一 些 错误 。 


$ docker service logs seastack_reverse_proxy 
.1.zhc3cjeti9d4@wrk-2 | [emerg] 1#1: host not found... 
1.6minmbzmwh2d@wrk-2 | [emerg] 1#1: host not found... 
.1.6minmbzmwh2d@wrk-2 | nginx: [emerg] host not found.. 
1.zhc3cjeti9d4@wrk-2 | nginx: [emerg] host not found.. 
1.itmya243m5um@mgr-1 | 10.255.0.2 "GET / HTTP/1.1" 302 


2 
2 
2 
1 


以 上 输出 内 容 有 删 减 ， 不 过 仍然 可 以 看 到 来 目 服 务 的 3 个 副本 的 日 
志 (两 个 运行 失败 ， 一 个 运行 成 功 ) 。 每 一 行 开头 为 副本 名 称 ， 其 中 
包括 服务 名 称 ` 副本 编号 、 副 本 ID 以 及 所 在 的 主机 。 之 后 是 日 志 消 


由 于 输出 内 容 有 所 删 减 ， 因 此 失败 原因 较 难 定位 ， 不 过 看 起 来 似 
乎 是 前 两 个 副本 竹 试 连接 男 一 个 启动 中 的 服务 而 导致 失败 (一 种 所 依 
赖 的 服务 未 完全 启动 导致 的 竞 态 条 件 问 题 ，。 


对 于 查看 日 志 命令 ， 可 以 使 用 --follow 进行 跟踪 、 使 用 - - 


tail 显示 最 近 的 日 志 ， 并 使 用 - -details 获取 额外 细节。 


10.3 Docker Swarm 


命令 


docker swarm init 命令 用 户 创 建 一 个 新 的 Swarm。 执 行 该 命 
令 的 节点 会 成 为 第 一 个 管理 节点 ， 并 且 会 切换 到 Swarm 模 式 。 
docker swarm join-token 命令 用 于 查询 加 入 管理 节点 和 工 
作 市 点 到 现 有 Swarm 时 所 使 用 的 命令 和 Token。 要 获取 新 增 管理 节 
点 的 命令 ， 请 执行 docker swarm join-token manager fi 
S, 要 获取 新 增 工作 节点 的 命令 ， 请 执行 docker swarm 
join-token worker 命令 。 

docker node ls 命令 用 于 列 出 Swarm 中 的 所 有 市 点 及 相关 信 
息 ， 包 括 哪些 是 管理 世 点 、 哪 个 是 主管 理 季 点。 

docker service create 命令 用 于 创建 一 个 新 服务 。 
docker service ls 命令 用 于 列 出 Swarm 中 运行 的 服务 ， 以 及 
诸如 服务 状态 、 服 务 副本 等 基本 信息 。 

docker service ps <service> 命令 会 给 出 更 多 关于 某 个 服 
务 副本 的 信息 。 

docker service inspect 命令 用 于 获取 关于 服务 的 详尽 信 
息 。 附 加 - -pretty 参数 可 限制 仅 显 示 重 要 信息 。 

docker service scale 命令 用 于 对 服务 副本 个 数 进行 增 减 。 
docker service update 命令 用 于 对 运行 中 的 服务 的 属性 进 
行 变 更 。 

docker service logs 命令 用 于 查看 服务 的 日 志 。 

docker service rm 命令 用 于 从 Swarm 中 删除 某 服 务 。 该 命令 
会 在 不 做 确认 的 情况 下 删除 服务 的 所 有 副本 ， 所 以 使 用 时 应 保持 


警惕 。 


10.4 ”本 章 小 结 


Docker Swarm 是 使 Docker 规 模 化 的 关键 方案 。 


Docker Swarm 的 核心 包含 一 个 安全 集群 组 件 和 一 个 编排 组 件 。 


安全 集群 管理 组 件 是 一 个 企业 级 的 安全 套件 ， 提 供 了 丰富 的 安全 
机 制 以 及 HA 特性 ， 这 些 都 是 目 动 配置 好 的 ， 并 且 非 常 易 于 调整 。 


编排 组 件 允 许 用 户 以 一 种 简单 的 声明 式 的 方式 来 部 署 和 管理 微服 
务 应 用 。 它 不 仅 支 持 猿 声 的 Docker Swarm 应 用 ， 还 支持 Kubernetes 心 
用 o 


本 书 将 在 第 14 章 对 如 何 使 用 声明 式 的 方式 部 署 微服 务 展开 更 加 深 
入 的 探讨 。 


第 11 章 Docker 网 络 


网 络 已 经 无 处 不 在 。 每 当 基础 设施 出 现 问题 时 ， 被 抱怨 的 通常 是 
网 络 。 很 大 一 部 分 原因 是 ， 网 络 负 责 连接 一 切 一 一 无 网 络 ， 无 APP ! 
在 Docker 早 期 阶段 ， 网 络 设计 确实 非常 复 洒 一 一 真 的 很 复 洒 ! 那 时 候 
配置 网 络 儿 乎 是 一 种 乐趣 。 


在 本 章 中 ， 主 要 介绍 了 Docker 网 络 体系 的 基本 原理 ， 比 如 容器 网 
络 模型 (Container Network Model, CNM) 以 及 Libnetwork， 同 时 还 会 
进行 实际 操作 来 搭建 儿 种 网 络 。 


按照 惯例 ， 本 章 分 以 下 3 个 部 分 。 
简介 。 


。 详解 。 


简介 


Docker 在 容器 内 部 运行 应 用 ， 这 些 应 用 之 间 的 交互 依赖 于 大 量 不 
同 的 网 络 ， 这 意味 着 Docker 需 要 强大 的 网 络 功能 。 


幸运 的 是 ，Docker 对 于 容器 之 间 、 容 器 与 外 部 网 络 和 VLAN 之 间 
的 连接 均 有 相应 的 解决 方案 。 后 者 对 于 那些 需要 跟 外 部 系统 (如 虚拟 
机 和 物理 机 ) 的 服务 打交道 的 容器 化 应 用 来 说 至 关 重 要 。 


Docker 网 络 架 构 源 自 一 种 叫 作 容器 网 络 模型 (CNM) 的 方案 ， 该 
方案 是 开源 的 并 且 支 持 插 接 式 连接 。Libnetwork 是 Docker 对 CNM 的 一 
种 实现 ， 提 供 了 Docker 核 心 网 络 染 构 的 全 部 功能 。 不 同 的 驱动 可 以 通 
过 插 拔 的 方式 接 入 Libnetwork 来 提供 定制 化 的 网 络 拓扑 。 


为 了 实现 开 箱 即 用 的 效果 ，Docker 封 装 了 一 系列 本 地 驱动 ， 鹤 盖 
了 大 部 分 常见 的 网 络 需 求 。 其 中 包括 单机 桥接 网 络 (Single-Host 
Bridge Network) 、 多 机 和 覆盖 网 络 (Multi-Host Overlay) ， 并 且 支 持 接 


11.1 Docker 网 络 


入 现 有 VLAN。Docker 生 态 系 统 中 的 合作 伙伴 通过 提供 驱动 的 方式 ， 
进一步 拓展 了 Docker 的 网 络 功 能 。 


最 后 要 说 的 是 ，Libnetwork 提 供 了 本 地 服务 发 现 和 基础 的 容器 人 负 
载 均衡 解决 方案 。 


整体 介绍 大 致 如 此 。 接 下 来 一 起 看 一 下 细 市 部 分 。 


详解 


11.2 ”Docker 网 络 


本 下 内 容 分 为 如 下 几 部 分 。 


。 基础 理论 。 

。 单机 桥接 网 络 。 
。 SHEENA ° 
。 接 入 现 有 网 络 。 
© 服务 发 现 。 

。 Ingress 网 络 。 


11.2.1 基础 理论 
在 顶层 设计 中 ，Docker 网 络 架 构 由 3 个 主要 部 分 构成 : CNM ` 
Libnetwork 和 驱动 。 
CNM 是 设计 标准 。 在 CNM 中 ， 规 定 了 Docker 网 络 架 构 的 基础 组 成 


7IN 


Libnetwork 是 CNM 的 具体 实现 ， 并 且 被 Docker 采 用 。Libnetwork 
通过 Go 语言 编写 ， 并 实现 了 CNM 中 列举 的 核心 组 件 。 


驱动 通过 实现 特定 网 络 拓扑 的 方式 来 拓展 该 模型 的 能 
图 11.1 展 示 了 顶层 设计 中 的 每 个 部 分 是 如 何 组 装 在 一 起 的 。 


沙 盒 
CO y 
网 络 
CNM Libnetwork 


iit (DNA) 基础 组 件 网 络 
控制 管理 层 数据 层 


图 11.1 ”顶层 设计 
接 下 来 具体 介绍 每 部 分 的 细节 。 


1. CNM 


一 切 都 始 于 设计 ! 


Docker 网 络 架 构 的 设计 规范 是 CNM。CNM 中 规定 了 Docker 网 络 的 
基础 组 成 要 素 ， 完 整 内容 见 GitHub 的 dockevlibnetwork 库 。 


推荐 通 篇 阅读 该 规范 ， 不 过 其 实 抽象 来 讲 ，CNM 定 义 了 3 个 基本 
要 素 : WA (Sandbox) 、 终 端 (Endpoint) 和 网 络 (Network) ° 


WE 是 一 个 独立 的 网 络 栈 。 其 中 包括 以 太 网 接口 、 端 口 、 路 由 表 
以 及 DNS 配置 。 


终端 就 是 虚拟 网 络 接口 。 通 网 络 接口 一 样 ， 终 端 主要 职责 
负责 创建 连接 。 在 CNM 中 ， 终 端 负责 将 沙 盒 连接 到 网 络 。 


网 络 是 802.1d 网 桥 的 软件 实现 。 因 
， 网 络 束 是 需要 交互 的 终端 的 集合 ， 并 且 终 端 之 间 相 互 独立 。 


图 11.2 展 示 了 3 个 组 件 是 如 何 连接 的 。 


沙 盒 
Sandbox 独立 网 络 栈 


Auu 


从师 
虚拟 网 络 接口 
网络 
Networ 虚拟 交换 机 ( 网 桥 ) 
图 11.2 CNM 
Docker 环 境 中 最 小 的 调度 单位 就 是 容器 ， 而 CNM 也 恰 如 其 名 ， 负 


ota» 


责 为 容器 提供 网 络 功能 。 图 11.3 展 示 了 CNM 组 件 是 如 何 与 容器 进行 关 
联 的 一 — 沙 盒 被 放置 在 容器 内 部 ， 为 容器 提供 网 络 连接 。 


图 11.3 ”CNM 组 件 与 容器 进行 关联 


容器 A 只 有 一 个 接口 (终端 并 连接 到 了 网 络 A。 容 器 B 有 两 个 接 
O (终端 ) 并 且 分 别 接 入 了 网 络 A 和 网 络 B。 容 器 A 与 B 之 间 是 可 以 相 
互通 信 的 ， 因 为 都 接 入 了 网 络 A。 但 是 ， 如 果 没 有 三 层 路 由 器 的 支 
村 ， 容 器 B 的 两 个 终端 之 间 是 不 能 进行 通信 的 。 


需要 重点 理解 的 是 ， 终 端 与 常见 的 网 络 适 配器 类 似 ， 这 意味 着 终 
端 只 能 接 入 某 一 个 网 络 。 因 此 ， 如 果 容 器 需要 接 入 到 多 个 网 络 ， 就 需 
要 多 个 终端 。 

图 11.4 对 前 面 的 内 容 进行 拓展 ， 加 上 了 Docker 主 机 。 虽 然 容器 A 和 


容器 B 运 行 在 同一 个 主机 上 ， 但 其 网 络 堆栈 在 操作 系统 层面 是 互相 独 
立 的 ， 这 一 点 由 沙 盒 机 制 保证 。 


图 11.4 ”加 入 Docker 主 机 


2. Libnetwork 


CNM 征 设计 规范 文档 ，Libnetwork 是 标准 的 实现 。Libnetwork 有 是 
开源 的 ， 采 用 Go 语言 编写 ， 它 跨 平台 (Linux 以 及 Windows) ， 并 且 被 
Docker 所 使 用 。 


在 Docker 早 期 阶段 ， 网 络 部 分 代码 都 存在 于 daemon 当 中 。 这 简直 
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则 ， 即 既 能 独立 工作 ， 又 易于 集成 到 其 他 项 目 。 所 以 ，Docker 将 该 网 
络 部 分 从 daemon 中 拆 分 ， 并 重 构 为 一 个 叫 作 Libnetwork 的 外 部 类 库 。 
现在 ，Docker 核 心 网 络 架 构 代 码 都 在 Libnetwork 当 中 。 


正如 读者 期 望 ，Libnetwork 实 现 了 CNM 中 定义 的 全 部 3 个 组 件 。 此 
外 它 还 实现 了 本 地 服务 发 现 (Service Discovery) 、 基 于 Ingress 的 容器 
负载 均衡 ， 以 及 网 络 控制 层 和 管理 层 功能 。 


3. 驱动 


如 琳 说 Libnetwork 实 现 了 控制 层 和 管理 层 功 能 ， 那 么 驱动 束 负 责 
实现 数据 层 。 比 如 ， 网 络 连通 性 和 隔离 性 是 由 张 动 来 处 理 的 ， 驳 动 层 
实际 创建 网 络 对 和 象 也 十 如 此 ， 其 关系 如 图 11.5 所 示 。 


Docker 封 装 了 者 干 内 置 张 动 ， 通 常 被 称 作 原生 张 动 或 者 本 地 张 
动 。 在 Linux 上 包括 Bridge » Overlay 以 及 Macvlan ， 在 Windows 
上 包括 NAT、Overlay 、Transport 以 及 L2 Bridge。 接 下 来 的 
一 节 中 会 介绍 如 何 使 用 其 中 部 分 驱动 。 


核心 网 络 架 构 网 络 标准 
(单独 主机 ) 
乡 = 
Ea dii TEET] 
(多 机 ) 
服务 发 现 
负载 均衡 
z (现存 VLAN) 
Libnetwork 


图 11.5 ”控制 层 、 管 理 层 与 数据 层 的 关系 


第 三 方 也 可 以 编写 Docker 网 络 驱 动 。 这 些 驱 动 叫 作 远 程 驱 动 ， 例 
如 Calico 、Contiv 、Kuryr 以 及 Weave ° 


每 个 驱动 都 负责 其 上 所 有 网 络 资源 的 创建 和 管理 。 举 例 说 明 ， 一 
个 叫 作 “prod-fe-cuda” 的 覆盖 网 络 由 Over1lay 驱动 所 有 并 管理 。 这 意味 
GOver lay 驱动 会 在 创建 、 管 理 和 删除 其 上 网 络 资源 的 时 候 被 调用 。 

为 了 满足 复杂 且 不 固定 的 环境 需求 ，Libnetwork 支 持 同 时 激活 多 
个 网 络 驱 动 。 这 意味 着 Docker 环 境 可 以 支持 一 个 庞大 的 异 构 网 络 。 


11.2.2 单机 桥接 网 络 


最 简单 的 Docker 网 络 殉 是 单机 桥接 网 络 。 
从 名 称 中 可 以 看 到 两 点 。 
。 单机 意味 着 该 网 络 只 能 在 单个 Docker 主 机 上 运行 ， 并 且 只 能 与 所 


在 Docker 主 机 上 的 容器 进行 连接 。 
。 桥接 意味 着 这 是 802.1.d 桥 接 的 一 种 实现 (二 层 交 换 机 ) 。 


Linux Docker 创 建 单机 桥接 网 络 采 用 内 置 的 桥接 驱动 ， 而 Windows 
J 建 时 使 用 内 置 的 NAT 驱 动 。 实 际 上 ， 这 两 种 驱动 工作 起 来 坚 
7 FF ° 


图 11.6 展 示 了 两 个 均 包 含 相同 本 地 桥接 网 络 mynet 的 Docker 主 机 ° 
虽然 网 络 是 相同 的 ， 但 却 是 两 个 独立 的 网 络 。 这 意味 着 图 11.6 中 容 右 
无 法 直接 进行 通信 ， 因 为 并 不 在 一 个 网 络 当 中 。 


每 个 Docker 主 机 部 有 一 个 默认 的 单机 桥接 网 络 。 在 Linux 上 网 络 名 
称 为 bridge ， 在 Windows 上 叫 作 nat 。 除 非 读 者 通过 命令 行 创建 容 
堪 时 指定 参数 - -network ， 人 否则 默认 情况 下 ， 新 创建 的 容 需 都 会 连 
接 到 该 网 络 。 


mynet (桥接 ) mynet (桥接 ) 


图 11.6 ”容器 无 法 直接 进行 通信 


下 面 列 出 了 docker network 1s 命令 在 刚 完成 安装 的 Docker 主 
机 上 的 输出 内 容 。 输 出 内 容 做 了 截取 处 理 ， 只 展示 了 每 个 主机 上 的 默 
认 网 络 。 注 意 ， 网 络 的 名 称 和 创建 时 使 用 的 驱动 名 称 是 一 致 的 一 一 这 


只 是 个 巧合 。 


//Linux 

$ docker network 1s 

NETWORK ID NAME DRIVER 
333e184cd343 bridge bridge 


//Windows 

> docker network ls 

NETWORK ID NAME DRIVER 
095d4090fa32 nat nat 


docker network inspect MEMME REI ° WR 
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docker network inspect bridge 


{ 


"Name": "bridge", << 在 Windows 上 是 nat 
"Id": "333e184...d9e55", 
"Created": "2018-01-15T20:43:02.566345779Z", 
"Scope": "local", 
"Driver": "bridge", << 在 Windows 上 是 nat 
"EnableIPv6": false, 
"IPAM": { 
"Driver": "default", 
"Options": null, 
"Config": [ 


"Subnet": "172.17.0.0/16" 


] 
ty 
"Internal": false, 
"Attachable": false, 
"Ingress": false, 
"ConfigFrom": { 
"Network": "" 


fELinux $ALE, Docker 28 ABridge kate, M Bridge) Ee 
基于 Linux 内 核 中 久 经 考验 达 15 年 之 久 的 Linux Bridge 技 术 。 这 意味 着 
Bridge 是 高 性 能 并 且 非 常 稳定 的 ! 同时 这 还 表示 可 以 通过 标准 的 Linux 
工具 来 查看 这 些 网 络 ， 代 码 如 下 。 


$ ip link show dockerg 
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc... 


link/ether 02:42:af:f9:eb:4f brd ff: fF: FF: FF: FF: fF 


在 Linux Docker 主 机 之 上 ， 默 认 的 “bridge” 网 络 被 映射 到 内 核 中 
为 “docker0 ”的 Linux 网 桥 。 可 以 通过 docker network inspect 命 
令 观察 到 上 面 的 输出 内 容 。 


$ docker network inspect bridge | grep bridge.name 
"com.docker.network.bridge.name": "docker®O", 


Docker 默 认 “bridge” 网 络 和 Linux 内 核 中 的 “docker0” 网 桥 之 间 的 天 
系 如 图 11.7 所 示 。 


Docker 引 擎 和 Docker 命 令 


A “docker0” Linux 内 核 和 OS 工 具 


图 11.7 “bridge” 网 络 和 “docker0” 网 桥 之 间 的 关系 


11.8 对 图 11.7 的 内 容 进行 了 扩展 ， 在 顶部 补充 了 接 入 “bridge” 网 
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桥 ， 该 网 桥 可 以 通过 主机 以 太 网 接口 的 端口 映射 进行 反 回 关联 。 


接 下 来 使 用 docker network create 命令 创建 新 的 单机 桥接 
网 络 ， 名 为 "localnet”。 


//Linux 
$ docker network create -d bridge localnet 


//Windows 
> docker network create -d nat localnet 


新 的 网 络 创建 成 功 ， 并 且 会 出 现在 docker network 1s 命名 的 
输出 内 容 当 中 。 如 果 读 者 使 用 Linux， 那 么 在 主机 内 核 中 还 会 创建 一 个 
新 的 Linux 网 桥 。 


接 下 来 通过 使 用 Linux brctl 工具 来 查看 系统 中 的 Linux 网 桥 。 读 
者 可 能 需要 通过 命令 apt-get install bridge-utils 来 安装 
bretl 二 进 制 包 ， 或 者 根据 所 使 用 的 Linux 发 行 版 选择 合适 的 命令 。 


a 


“bridge” Docker 引 擎 和 Docker 命 令 
A) “docker0” Linux 内 核 和 OS 工 具 


图 11.8 补充 接 入 “bridge” 网 络 的 容器 


$ brctl show 


bridge name bridge id STP enabled interfaces 
docker0 8000.0242aff9eb4f no 


br-20c2e8ae4bbb 8000 .02429636237c no 


输出 内 容 中 包含 了 两 个 网 桥 。 第 一 行 是 前 文 提 过 的 dockerg 网 
桥 ， 该 网 桥 对 应 Docker 中 的 默认 网 络 bridge ; 第 二 个 网 桥 (br- 
20c2e8ae4bbb) 与 新 建 的 "localnet”Docker 桥 接 网 络 相 对 应 。 两 个 网 桥 
目前 都 没有 开启 STP， 并 且 也 都 没有 任何 设备 接 入 (对 应 的 


interfaces 列 为 空 ) 。 


目前 ， 主 机 上 的 网 桥 配 置 如 图 11.9 所 示 。 


性 anDooeree 


图 11.9 主机 上 的 网 桥 配 置 


接 下 来 创建 一 个 新 的 容 右 ， 并 接 入 到 新 建 桥接 网 络 1ocalnet 4 
中 。 如 果 读 者 是 在 Windows 上 进行 操作 ， 需 要 将 命令 中 “alpine sleep 


1P” A“microsoft/powershell:nanoserver pwsh.exe - 
Command Start-Sleep 86400” ° 


$ docker container run -d --name c1 \ 
--network localnet \ 


alpine sleep 1d 


容器 现在 接 入 了 localnet 网 络 当 中 。 读 者 可 以 通过 docker 
network inspect 命令 来 确认 。 


$ docker network inspect localnet --format 
'{{json .Containers}}' { 
"Aedchd...842c3aa": { 
"Name": "ci", 
"EndpointID": "43a13b...3219b8c13", 
"MacAddress": "02:42:ac:14:00:02", 
"TPv4Address": "172.20.0.2/16", 
"IPv6Address": "" 


} 


输出 内 容 表 明 “c1 ”容器 已 经 位 于 桥接 (Bridge/NAT) 网 络 
localnet 之 上 。 


如 果 再 次 运行 brct1 show 命令 ， 就 能 看 到 c1 的 网 络 接口 连接 
到 了 br-20c2e8ae4bbb 网 桥 。 


$ brctl show 
bridge name bridge id STP enabled interfaces 
br-20c2e8ae4bbb 8000 .02429636237c no vethe792ac0 


dockerO 8000. 0242af F9eb4f no 
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虚拟 接口 组 


“localnet” 


图 11.10 c1 的 网 络 接口 连接 到 了 br-20c2e8ae4bbb 网 桥 


如 果 在 相同 网 络 中 继续 接 入 新 的 容器 ， 那 么 在 新 接 入 容 絮 中 是 可 
以 通过 “c1” 的 容器 名 称 来 ping 通 的 。 这 是 因为 靳 容器 都 注册 到 了 指定 
~ DNSARA , PrE A FAAA n] DA RA A ae 
JR 。 


Linux 上 默认 的 Bridge 网 络 是 不 文 持 通过 Docker DNS 服务 进行 域名 解析 的 。 自 
义 桥 接 网 络 可 以 ! 


-起 来 测试 一 下 。 
(1) 创建 名 为 “c2” 的 容器 ， 并 接 入 “c1” 所 在 的 localnet 网 络 。 


//Linux 

$ docker container run -it --name c2 \ 
--network localnet \ 
alpine sh 


//Windows 

> docker container run -it --name c2 ` 
--network localnet ` 
microsoft/powershell:nanoserver 


当前 终端 会 切换 到 “c2" 容 器 中 。 


(2) 在 “c2” 容 器 中 ， 通 过 “c1” 容 器 名 称 执行 ping 命 


> ping c1 
Pinging c1 [172.26.137.130] with 32 bytes of data: 
Reply from 172.26.137.130: bytes=32 time=ims TTL=128 


Reply from 172.26.137.130: bytes=32 time=ims TTL=128 
Control-C 


DEAT! EA AART SS AHEDNS PAT tir 该 解 
本 天 将 请 求 检 发 到 了 Docker 内 部 DNS 服务 器 当 中 。DNS 服 务 器 中 记录 


了 容器 启动 时 通过 - -name 或 者 - -net-alias 参数 指定 的 名 称 与 容 
an 2 A) AYER A © 


如 果 读 者 仍 处 于 容器 中 ， 可 以 尝试 运 行 一 些 网 络 相关 的 命令 。 这 
是 一 种 很 好 的 了 解 Docker 容 器 网 络 工 作 原 理 的 方式 。 下 面 的 片段 是 在 
之 前 创建 的 Windows 容 器 “c2” 中 运行 jpconfig 命令 的 输出 内 容 。 读 
者 可 以 在 前 面 docker network inspect nat 命令 输出 中 找到 对 
应 的 IP 地 址 。 


> ipconfig 
Windows IP Configuration 
Ethernet adapter Ethernet: 
Connection-specific DNS Suffix . : 
Link-local IPv6 Address : fe80::14d1:10c8: f3dc:2eb3%4 


IPv4 Address > 172.26.135.0 
Subnet Mask : 255.255.240.0 
: 172.26.128.1 
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ee 言 。 但 是 ， 可 以 使 用 端口 映射 (Port Mapping) 来 绕 开 
这 个 限制 。 


端口 映射 允许 将 某 个 容器 端口 映射 到 Docker 主 机 端口 上 。 对 于 配 
置 中 指定 的 Docker 主 机 端口 ， 任 何 发 送 到 该 端口 的 流量 ， 都 会 被 转发 
到 容 老 。 图 11.11 中 展示 了 有 具体 流量 动向 。 


Docker=#1 


10.0.0.15 


0.0.0.15: 5000 LNs 
会 被 转发 到 容器 的 BE@ 端 口上 


图 11.11 具体 流量 动向 


如 图 11.11 所 示 ， 容 器 内 部 应 用 开放 端口 为 80。 Asin O PARTS T 
Docker 主 机 的 10 .0.0.15 接口 的 5000 端 口 之 上 。 最 终结 果 束 是 访问 
10.0.0.15:5000 的 所 有 流量 都 被 转发 到 了 容器 的 80 端 口 。 


接 下 来 通过 示例 了 解 将 容 髓 上 运行 着 Web 服 务 的 端口 80， 了 映射 到 
Docker 主 机 端口 5000 的 过 程 。 示 例 使 用 Linux 的 Nginx。 如 果 读 者 使 用 
Windows， 可 以 将 Nginx 替 换 为 某 个 Windows 的 web 服务 镜像 。 


(1) 运行 一 个 新 的 Web 服 务 容 器 ， 并 将 容器 80 端 口 映 射 到 Docker 
主机 的 5000 端 口 。 


$ docker container run -d --name web \ 
--network localnet \ 
--publish 5000:80 \ 


nginx 


(2) 确认 端口 映射 。 


$ docker port web 
80/tcp -> 0.0.0.0:5000 


这 表示 容器 80 端 口 已 经 映射 到 Docker 主 机 所 有 接口 上 的 5000 端 
[J ° 


(3) 通过 Web 浏 览 器 访问 Docker 主 机 5000 端 口 ， 验 证 配置 是 否 生 
效 ， 如 图 11.12 所 示 。 为 了 完成 测试 ， 读 者 需要 知道 Docker 主 机 的 IP 地 
址 或 者 DNS 名 称 。 如 果 读 者 使 用 Windows 版 Docker 或 者 Mac 版 Docker， 
可 以 使 用 localhost 或 者 127.0.0.1。 


= =- O x 


[D Welcome to nginx! 


(6 © ip-or-dns-of-docker-host:5000 六 E -2 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank vou for usina nainx. 


图 11.12 ”访问 Docker 主 机 5000 端 口 


外 部 系统 现在 可 以 通过 Docker 主 机 的 TCP 端 口 5000， 来 访问 和 运行 
在 桥接 网 络 上 的 Nginx 容 器 了 。 


端口 映射 工作 原理 大 致 如 此 ， 但 这 种 方式 比较 笨重 并 且 不 能 扩 
展 。 举 个 例子 ， 在 只 有 单一 容 需 的 情况 下 ， 它 可 以 绑 定 到 主机 的 任意 
端口 。 这 意味 着 其 他 容 凯 束 不 能 再 使 用 已 经 被 Nginx 容 句 占 用 的 5000 端 
于 本 地 开发 环境 以 及 非常 小 的 应 用 
。， AA = 


11.2.3 ”多 机 覆盖 网 络 


后 面 本 书 会 有 专门 的 章 广 去 介绍 多 机 和 窗 盖 网 络 ， 所 以 本 市 内 容 尽 
量 做 到 简 涪 。 


履 关 网 络 适用 于 多 机 环境 。 它 允许 单个 网 络 包 含 多 个 主机 ， 这 样 
不 同 主机 上 的 容 融 间 融 可 以 在 通路 层 实现 通信 。 黎 兰 网 络 是 理想 的 容 
妖 间 通信 方式 ， 文 持 完全 容器 化 的 应 用 ， 并 且 具 备 民 好 的 伸缩 性 。 


Docker 为 覆盖 网 络 提供 了 本 地 驱动 。 这 使 得 创建 覆盖 网 络 非常 简 
单 ， 只 需要 在 docker network create 命令 中 添加 - -d overlay 
参数 。 


11.2.4 接 入 现 有 网 络 


能 够 将 容器 化 应 用 连接 到 外 部 系统 以 及 物理 网 络 的 能 力 是 非常 必 
要 的 。 篆 见 的 例子 是 部 分 容 吉 化 的 应 用 一 一 应 用 中 已 容 需 化 的 部 分 需 
要 与 那些 运行 在 物理 网 络 和 VLAN 上 的 未 容器 化 部 分 进行 通信 。 


Docker 内 置 的 Macvlan 驱动 (Windows 上 是 Transparent ) 就 
是 为 此 场景 而 生 。 通 过 为 容 絮 提供 MAC 和 IP 地 址 ， 让 容 旨 在 物理 网 络 
上 成 为 “一 等 公民 ”。 图 11.13 展 示 了 具体 内 容 。 


物理 机 


10.0.0.71 
MAC: 22:F8 


10.0.0.92 10.0.0.36 | 
| MAC: 22:46 MAC: 21:26 


已 有 物理 网 络 或 者 VLAN (10.0.0.0/24) 


图 11.13 ”将 容器 化 应 用 连接 到 网 络 


Macvlan 的 优点 是 性 能 优异 ， 因 为 无 须 端 口 映 射 或 者 额外 桥接 ， 可 
以 直接 通过 主机 接口 (或 者 子 接口 ) 访问 容器 接口 。 但 是 ，Macvlan 的 
缺点 是 需要 将 主机 网 卡 (NIC) 设置 为 混杂 模式 (Promiscuous 
Mode) ， 这 在 大 部 分 公有 云 平台 上 是 不 允许 的 。 所 以 Macvlan 对 于 公 
司 内 部 的 数据 中 心 网 络 来 说 很 梭 (假设 公司 网 络 组 能 接受 NIC 设 置 为 
混杂 模式 ) ， 但 是 Macvlan 在 公有 云 上 并 不 可 行 。 


接 下 来 通过 图 片 和 一 个 假想 场景 加 深 对 Macvlan 的 理解 。 


假设 读 考 有 一 个 物理 网 络 ， 其 上 配置 了 两 个 VLAN 一 一 VLAN 
100: 10.0.0.0/24 和 VLAN 200: 192.168.3.0/24， 如 图 11.14 所 示 。 


VLAN 100 
10.0.0.0/24 


VLAN 200 
192.168.3.0/24 


图 11.14 物理 网 络 配置 了 两 个 VLAN 
接 下 来 ， 添 加 一 个 Docker 主 机 并 连接 到 该 网 络 ， 如 图 11.15 所 示 。 


有 一 个 需求 是 将 容器 接 入 VLAN 100。 为 了 实现 该 需求 ， 首 先 使 用 
Macvlan 驱动 创建 新 的 Docker 网 络 。 但 是 ，Macv1lan 驱动 在 连接 到 
目标 网 络 前 ， 需 要 设置 儿 个 参数 。 比 如 以 下 几 点 。 


。 子 网 信息 。 
。 网关。 
。 可 分 配给 容器 的 IP 范 围 。 


Docker host 


VLAN 100 
10.0.0.0/24 


VLAN 200 
192.168.3.0/24 


图 11.15 “添加 Docker 主 机 并 连接 到 该 网 络 
。 主机 使 用 的 接口 或 者 子 接口 。 


下 面 的 命令 会 创建 一 个 名 为 macvlan100 的 Macvlan 网 络 ， 该 网 
络 会 连接 到 VLAN 100 ° 


$ docker network create -d macvlan \ 
--subnet=10.0.0.0/24 \ 
--ip-range=10.0.00/25 \ 
--gateway=10.0.0.1 \ 


-O parent=eth0.100 \ 
macvlan1i00 


该 命令 会 创建 macvlan100 网 络 以 及 eth0 .100 子 接口 。 当 前 配 
置 如 图 11.16 所 示 。 


物理 网 络 


VLAN 100 VLAN 200 
10.0.0.0/24 192.168.3.0/24 


图 11.16 ”创建 macvlan100 网 络 以 及 ethg .100 子 接口 


Macvlan 采 用 标准 Linux 子 接口 ， 读 者 需要 为 其 打上 目标 VLAN 网 
络 对 应 的 ID 。 在 本 例 中 目标 网 络 是 VLAN 100， 所 以 将 子 接口 标记 为 
.100 (etho.100) 。 


通过 - -ip-range 参数 告知 Macvlan 网 络 在 子 网 中 有 哪些 了 地址 
可 以 分 配给 容器 。 这 些 地 址 必须 被 保留 ， 不 能 用 于 其 他 节点 或 者 
DHCP 服 务 器 ， 因 为 没有 任何 管理 层 功 能 来 检查 IP 区 域 重合 的 问题 。 


macvlan100 网 络 已 为 容器 准备 束 绪 ， 执 行 以 下 命令 将 容器 部 署 
到 该 网 络 中 。 


$ docker container run -d --name mactaineri1 \ 
--network macvlan100 \ 


alpine sleep 1d 


当前 配置 如 图 11.17 所 示 。 但 是 切记 ， 下 层 网 络 (VLAN 100) 对 
Macvlan 的 魔法 毫 不 知情 ， 只 能 看 到 容器 的 MAC 和 和 IP 地址。 在 该 基础 


ZE, mactainer1 容器 可 以 ping 通 任何 加 入 VLAN 100 的 系统 ， 
进行 通信 。 


如 有 果 上 壕 命 令 不 能 执行 ， 可 能 是 因为 主机 NIC 不 支持 混杂 模式 。 切 记 公 有 云 平 
台 不 允许 混杂 模式 。 


eth0.100 


物理 网 络 


VLAN 100 
10.0.0.0/24 


VLAN 200 
192.168.3.0/24 


图 11.17 当前 配置 


目前 已 经 拥有 了 Macvlan 网 络 ， 并 有 一 台 容 器 通过 Macvlan 接 入 了 
现 有 的 VLAN 当 中 。 但 是 ， 这 并 不 是 结束 。Docker Macvlan¥k ae FFE 
定 可 靠 的 同名 Linux 内 核 驱 动 构建 而 成 。 因此 ，Macvlan 也 支持 VLAN 
的 Trunk 功 能 。 这 意味 着 可 以 在 相同 的 Docker 主 机 上 创建 多 个 Macvlan 
网 络 ， 并 且 将 容器 按照 图 11.18 的 方式 连接 起 来 。 


以 上 内 容 基本 能 涵盖 Macvlan。Windows 也 提供 了 类 似 的 解决 方案 
Transparent 驱动 。 


Docker 主 机 


am | | 10.0.0.80 


| | [a | macvlan | 
macvlan 100 | | 200 | 


Linux 子 接口 ( 负责 处 理 
802.1q VLAN 打 标 操作 ) 


VLAN Trunk 


VLAN 100 VLAN 200 
10.0.0.0/24 192.168.3.0/24 


用 于 故障 排除 的 容器 和 服务 日 志 


在 讲 服务 发 现 之 前 ， 快 速 了 解 一 下 网 络 连 接 故 障 排除 相关 的 内 
X o 


当 认 为 遇 到 容器 间 网 络 连接 问题 时 ， 检 查 daemon 日 志 以 及 容器 日 
二 (应 用 Han) 是 非常 有 必要 的 È 


在 Windows 上 ，daemon 日 志 存 储 在 ~AppData\Local\Docker 
， 可 以 通过 Windows 事 件 查 看 器 来 浏 蜗 。 在 Linux 上 上 ，daemon 日 志 的 存 
储 位 置 取决 于 当前 系统 正在 使 用 的 初始 化 方式 。 如 果 是 Systemd , H 
志 会 存储 在 Journald | 并 且 可 以 通过 journalct1 -u 
docker .service 命令 查看 ;如 果 不 是 Systemd 读者 需要 查看 如 下 
位 置 。 


Ubuntu 系统 : upstart:/var/log/upstart/docker.log ° 
RHEL 系 列 : systems:/var/log/messages ° 

Debian: /var/log/daemon.log ° 

MachitDocker: 

~/Library/Containers/com.docker .docker/Data/com 
. docker.driver.amd64-linux/console-ring ° 


读者 还 可 以 设置 daemon 日 志 的 详细 程度 。 可 以 通过 编辑 daemon 配 
置 文件 (daemon.json) ， 将 debug 设 置 为 tue， 并 同时 设置 log-leve] 为 
下 面 的 某 个 值 。 


e debug: 最 详细 的 日 志 级 别 。 
info: 默认 值 ， 次 详细 日 志 级 别 。 
warn : 第 三 详细 日 志 级 别 。 
error : 第 四 详细 日 志 级 别 。 
fatal : 最 粗略 的 日 志 级 别 。 


下 面 的 片段 摘 目 daemon .json ， 其 中 开局 了 调试 模式 ， 并 设置 
日 志 级 别 为 debug 。 该 配置 在 所 有 Docker 平 台 均 有 效 。 


<Snip> 
"debug":true, 


"log-level":"debug", 
<Snip> 


修改 配置 文件 之 后 ， 需 要 重启 Docker 才 会 生效 。 


这 就 是 daemon 日 志 了 。 容 器 日 志 义 是 什么 ? 


可 以 通过 docker container logs 命令 查看 单独 的 容器 日 
志 ， 通 过 docker service logs 可 以 查看 Swarm 服 务 日 志 。 但 是 ， 
Docker 文 持 多 种 日 志 弛 动 ， 并 不 是 每 种 都 能 通过 docker logs 命令 
查看 的 。 


WAS E H SWRA ACE, BS Docker EW th AN Aas te tt 
了 默认 的 日 志 驱 动 以 及 配置 。 其 中 包括 json-file (默认 ) ` 
journald (只 在 运行 Systemd 的 Linux 主 机 中 生效 ) > syslog ` 
splunk 和 gelf ° 


json-file 和 journald 可 能 是 较 容易 配置 的 ， 并 且 均 可 通过 
doker logs 和 docker service logs 命令 查看 。 具 体 命令 格式 
为 docker logs <container-name> 和 docker service logs 
<service-name> ° 


如 条 采用 了 其 他 日 志 张 动 ， 可 以 通过 第 三 方 乎 台 提供 的 原生 工具 
进行 查看 。 


下 面 的 片段 为 daemon. json 文件 的 一 部 分 ， 展 示 如 何 配置 
Docker 主 机 使 用 syslog 方式 。 


"log-driver": "syslog" 


} 


读者 可 以 为 某 个 容器 或 者 服务 配置 单独 的 日 志 策 略 ， 只 需 在 启动 
的 时 候 通过 - -1og- driver 和 --1og-opts 指定 特定 的 日 志 了 驱动 即 
可 。 这 样 会 履 盖 掉 daemon .json 中 的 配置 。 


容器 日 志 生 效 的 前 提 是 应 用 进程 在 容器 内 部 PID 为 1， 并 且 将 正常 
日 志 输 出 到 STDOUT ， 将 异常 日 志 输 出 到 STDERR 。 日 志 驱 动 就 会 将 
这 些 “ 日 志 ” 转 发 到 日 志 驱 动 配置 指定 的 位 置 。 


如 果 应 用 日 志 是 写 到 某 个 文件 的 ， 可 以 利用 符号 链接 将 日 志文 件 
重 定向 到 STDOUT 和 STDERR ° 


下 面 的 例子 展示 了 通过 运行 docker logs 命令 查看 某 个 使 用 
json-file 日 志 张 动 ， 并 且 名 为 Vantage-db 容器 的 日 志 。 


$ docker logs vantage-db 

1:C 2 Feb 09:53:22.903 # 0000000000000 Redis is starting 
0000000000000 

1:C 2 Feb 09:53:22.904 # Redis version=4.0.6, bits=64, 
commit=00000000, modi\ 

fied=0, pid=1 

1:C 2 Feb 09:53:22.904 # Warning: no config file specified, using 
the defaul\ 


t config. 

1:M 2 Feb 09:53:22.906 Running mode=standalone, port=6379. 

1:M 2 Feb 09:53:22.906 # WARNING: The TCP backlog setting of 511 
cannot be ex 

nforced because... 

1:M 2 Feb 09:53:22.906 Server initialized 

1:M 2 Feb 09:53:22.906 # WARNING overcommit_memory is set to 0! 


| R 可 能 在 daemon 日 志 或 者 容 絮 日 志 中 找到 网 络 连接 相关 
H © 


11.2.5 ”服务 发 现 


作为 核心 网 络 架 构 ，Libnetwork 还 提供 了 一 些 重要 的 网 络 服务 。 


服务 发 现 (Service Discovery) 人 允许 容器 和 Swarm 服 务 通过 
名 称 互相 定位 。 唯 一 的 要 求 束 是 需要 处 于 同一 个 网 络 当 中 。 


其 底层 实现 是 利用 了 Docker 内 置 的 DNS 服务 器 ， 为 每 个 容器 提供 


DNS 解 析 功 能 。 图 11.19 展 示 了 容器 “c1” 通 过 名 称 ping 容 器 “c2” 的 过 
程 。Swarm 服 务 原 理 相 同 。 


由 


ee 
GB) 


nn | 


图 11.19 ”容器 “c1” 通 过 名 称 ping 容 器 “c2” 
下 面 逐 步 分 析 整 个 过 程 。 


(1) ping c2 命令 调用 本 地 DNS 解析 器 ， 尝 试 将 <c2” 解 析 为 具 
体 IP 地 址 。 每 个 Docker 容 絮 都 有 本 地 DNS 解 析 兹 。 


(2) 如 果 本 地 解析 器 在 本 地 缓存 中 没有 找到 “c2” 对 应 的 IP 地 址 ， 
AHRENS P Docker DNS 服 务 器 发 起 一 个 递归 查询 。 本 地 服务 解析 
句 是 预先 配置 好 并 知道 Docker DNS 服务 器 细节 的 。 


(3) Docker DNS 服 务 角 记录 了 全 部 容 句 名 称 和 IP 地 址 的 映射 关 
系 ， 其 中 容器 名 称 是 容 副 在 创建 时 通过 - -name 或 者 - -net -alias 
参数 设置 的 。 这 意味 着 Docker DNS 服 务 器 知道 容器 <c2”* 的 IP 地 址 。 


(4) DNS 服 务 返 回 “c2” 对 应 的 IP 地 址 到 “c1” 本 地 DNS 解 析 器 。 之 
所 以 会 这 样 是 因为 两 个 容器 位 于 相同 的 网 络 当 中 ， 如 果 所 处 网 络 不 同 
则 该 命令 不 可 行 。 


(5) ping 命 令 被 发 往 “c2” 对 应 的 IP 地 址 。 


每 个 局 动 时 使 用 了 - -name 参数 的 Swarm 服务 或 者 独立 的 容 坑 ， 
都 会 将 目 己 的 名 称 和 IP 地 址 注册 到 Docker DNS 服 务 。 这 意味 着 容器 和 
服务 副本 可 以 通过 Docker DNS 服务 互相 发 现 。 


但 是 ， 服 务 发 现 是 受 网 络 限制 的 。 这 意味 着 名 称 解 析 只 对 位 于 同 
一 网 络 中 的 容 絮 和 服务 生效 。 如 采 两 个 容器 在 不 同 的 网 络 ， 那 么 整 不 
能 互相 解析 ° 


天 于 服务 发 现 和 名 称 解 析 最 后 要 说 一 点 。 


用 户 可 以 为 Swarm 服务 和 独立 容 需 进行 目 定 义 的 DNS 配置 。 举 个 
例子 ，- -dns 参数 允许 读者 指定 目 定 义 的 DNS 服务 列表 ， 以 防 出 现 内 
置 的 Docker DNS 服 务 右 解析 失败 的 情况 。 此 外 也 可 以 使 用 - -dns - 
search 参数 指定 自 定义 查询 时 所 使 用 的 域名 (例如 当 查 询 名 称 并 非 
完整 域名 的 时 候 ) 。 


在 Linux 上 ， 上 述 工作 都 是 通过 在 容器 内 
“b/etc/resolve.conf 文件 内 部 增加 条 目 来 实现 的 。 


下 面 的 例子 会 启动 一 个 新 的 容器 ， 并 添加 声名 狼藉 的 8.8.8 .8 
Google DNS 服务 器 ， 同 时 指定 dockercents . com 作为 域名 添加 到 非 
完整 查询 当中 。 


$ docker container run -it --name ci \ 


--dns=8.8.8.8 \ 


--dns-search=dockercerts.com \ 


alpine sh 


11.2.6 ”Ingress 网 络 


| 两 种 模式 均 保证 服务 从 集群 外 可 
访问 。 

e Ingress 模 式 (默认 ) 。 

。 Host 模 式 。 


通过 Ingress 模 式 发 布 的 服务 ， 可 以 保证 从 Swarm 集 群 内 任 一 市 点 
即使 没有 运行 服务 的 副本 ) 都 能 访问 该 服务 ， 以 Host 模 式 发 布 的 服 
能 通过 运行 服务 副本 的 节点 来 访问 。 图 11.20 展 示 了 两 种 模式 的 区 


fill ° 


Ingress 模 式 是 默认 方式 ， 这 意味 着 任何 时 候 读 者 通过 -p 或 者 - - 
publish 发 布 服务 的 时 候 ， 默 认 都 是 Ingress 模 式 ; 如 果 需 要 以 Host 模 
式 发 布 服务 ， 则 读者 需要 使 用 - -publish 参数 的 完整 格式 ， 并 添加 
mode=host 。 下 面 一 起 来 看 Host 模 式 的 例子 。 


$ docker service create -d --name svci \ 
--publish published=5000, target=80,mode=host \ 


nginx 


关于 该 命令 的 一 些 说 明 。docker service mode 人 允许 读者 使 
用 完整 格式 语法 或 者 简单 格式 语法 来 发 布 服 务 。 简 单 格式 如 -p 
5000:80 ， 前 面 已 经 多 次 出 现 。 但 是 ， 读 者 不 能 使 用 简单 格式 发 布 
Host 模 式 下 的 服务 。 


Node1 i Node2 Í Node3 l Node4 i 


Ingress 模 式 : 任意 节点 都 可 被 外 部 访问 


Host 模 式 : 只 有 服务 副本 所 在 节点 能 被 外 部 访问 


图 11.20 ”Ingress 模 式 与 Host 模 式 


完整 格式 如 - -publish 
published=5000, target=80,mode=host 。 该 方式 采用 逗号 分 
隔 多 个 参数 ， 并 有 旦 逗号 前 后 不 允许 有 空格 。 具 体 选 项 说 明 如 下 。 


e published=5000 表示 服务 通过 端口 5000 提 供 外 部 服务 。 
。target=80 表示 发 送 到 published 端 口 5000 的 请 求 ， 会 映射 到 服 

务 副本 的 80 端 口 之 上 。 

。mode=host 表示 只 有 外 部 请 求 发 送 到 运行 了 服务 副本 的 节点 才 

可 以 访问 该 服务 。 

通常 使 用 Ingress 模 式 。 

在 底层 ，Imgress 模 式 采 用 名 为 Service Mesh 或 者 Swarm Mode 
Service Mesh 的 四 层 路 由 网 络 来 实现 。 图 11.21 展 示 了 Ingress 模 式 下 一 
个 外 部 请 求 是 如 何 流转 ， 最 终 访问 到 服务 的 。 

简要 介绍 图 11.21 的 内 容 。 


° Al ax ES abe I 为 “svc1” 的 Swarm 服 务 。 该 服务 连 
接 到 了 overnet 网 络 ， 并 发 布 到 5000 端 口 。 


。 按 上 壕 方 式 发 布 Swarm 服务 (--publish 

published=5000, target=80 ) 会 在 mgress 网 络 的 5000 端 口 
进行 发 布 。 因 为 Swarm 全 部 万 点 都 接 入 了 Ingress 网 络 ， 所 以 这 个 
端口 被 发 布 到 了 Swarm 范围 内 。 

集群 确保 到 达 Ingress 网 络 中 任意 节点 的 5000 端 口 的 流量 ， 都 会 被 
路 由 到 80 端 口 的 “svc1” 服 务 。 


$ docker service create -d --name svc1 --network overnet \ 
--publish published=5000, target=80] nginx 


Nodel ää 


加 
iw 


人 
Overnet 


Ingress 


图 11.21 Ingress 模 式 下 访问 服务 


。 当前 “svc1” 服 务 只 部 署 了 一 个 副本 ， 集 群 中 有 一 条 映射 规则 : “所 
有 访问 Ingress 网 络 5000 端 口 的 流量 都 需要 路 由 到 运行 了 “svc1” 服 
务 副本 的 节点 之 上 ”。 

。 红线 展示 了 访问 Node 的 15000 端 口 的 流量 ， 通 过 Ingress 网 络 ， 被 
路 由 到 了 Node2 市 点 正在 运行 的 服务 副本 之 上 。 


入 站 流量 可 能 访问 4 个 Swarm 节 点 中 的 任意 一 个 ， 但 是 结果 都 是 一 
样 的 ， 了 解 这 一 点 很 重要 。 这 是 因为 服务 通过 Imgress 网 络 实现 了 
Swarm 范围 内 的 发 布 。 

此 外 ， 还 有 一 后 很 重要 :如果 存在 多 个 运行 中 的 副本 ,流量 会 平 
均 到 每 个 副本 之 上 ， 如 图 11.22 中 展示 的 一 样 。 


11.3 DockerP2 


$ docker service create -d --name svc1 --network overnet \ 
--replicas 4 \ 
ublish published=5000, target=80] nginx 


Nod i 


el we 
mm 
= 


a Node4 = 


mm mm 
all 


Node3 


图 11.22 流量 平均 到 每 个 副本 之 上 


命令 


Docker 网 络 有 目 己 的 子 命令 ， 主 要 包括 以 下 几 种 。 

docker network ls 用 于 列 出 运行 在 本 地 Docker 主 机 上 的 全 音 
网 络 。 

docker network create 创建 新 的 Docker 网 络 。 默 认 情 况 
下 ， 在 Windows 上 会 采用 NAT 张 动 ， 在 Linux 上 会 采用 Bridge 4k 
动 。 读 者 可 以 使 用 -d 参数 指定 驱动 (网络 类 型 ) ° docker 
network create -d overlay overnet 会 创建 一 个 新 的 名 
为 overnet 的 履 盖 网 络 ， 其 采用 的 驱动 为 Docker Overlay 。 
docker network inspect 提供 Docker 网 络 的 详细 配置 信息 。 
docker network prune 删除 Docker 主 机 上 全 部 未 使 用 的 网 
络 。 

docker network rm 删除 Docker 主 机 上 指定 网 络 。 


11.4 ”本章 小 结 


义 了 Docker 网 络 中 用 到 的 3 个 主要 结构 


容器 网 络 模型 (CNM) 是 Docker 网 络 架 构 的 主要 设计 文档 ， 它 定 
沙 盒 、 终 端 以 及 网 络 。 


Libnetwork 是 开源 库 ， 采 用 Go 编写 ， 实 现 了 CNM。Docker 使 用 了 


该 库 ， 并 且 Docker 网 络 架 构 的 核心 代码 都 在 该 库 当 中 。Libnetwork 同 


时 还 提供 了 Docker 网 络 控制 层 和 管理 层 的 功能 。 


驱动 通过 实现 特定 网 络 类 型 的 方式 扩展 了 Docker 网 络 栈 
(Libnetwork) ， 例 如 桥接 网 络 和 和 履 盖 网 络 。Docker 内 置 了 几 种 网 络 
驱动 ， 同 时 也 支持 第 三 方 驱 动 。 


单机 桥接 网 络 是 基本 的 Docker 网 络 类 型 ， 对 于 本 地 开发 和 小 型 应 
用 来 说 也 十 分 适用 。 单 机 桥接 网 络 不 可 扩展 ， 并 且 对 外 发 布 服务 依赖 
于 端口 映射 。Linux Docker 使 用 内 置 的 Bridge 驱动 实现 单机 桥接 网 
络 ， 而 Windows Docker 使 用 内 置 的 NAT 驱动 来 实现 。 


和 窗 主 网 络 是 当下 流行 的 方式 ， 并 且 是 一 种 出 色 的 多 机 容 絮 网 络 方 


案 。 第 12 章 会 深入 介绍 履 盖 网 络 。 


Macvlan 驱动 (在 Windows 中 是 Transparent ) 人 允许 容器 接 入 
现存 物理 网 络 以 及 VLAN。 通 过 赋予 容器 MAC 和 IP 地 址 的 方式 ， 计 容 
器 成 为 网 络 中 的 “一 等 公民 ”。 不过， 该 驱动 需要 主机 的 NIC 支 持 混杂 
模式 ， 这 意味 着 该 驱动 在 公有 云 上 无 法 使 用 。 


Docker 使 用 Libnetwork 实 现 了 基础 服务 发 现 功能 ， 同 时 还 实现 了 
服务 网 格 ， 文 持 对 入 站 流量 实现 容器 级 别 负 载 均衡 。 
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Docker Swarm 集群 中 的 实现 。 


Docker 覆 盖 网 络 在 windows 上 基本 与 Linux 相 同 。 这 意味 着 本 章 示 
例 在 windows 和 Linux 上 都 会 生殖 。 


内 容 按 惯例 分 为 如 下 3 个 部 分 。 


一 起 开局 网 络 魔法 之 旅 吧 ! 


12.1 Docker 禾 盖 网 络 一 简介 


在 现实 世界 中 ， 容 右 间 通信 的 可 靠 性 和 安全 性 相当 重要 ， 即 使 容 
妖 分 属于 不 同 网 络 中 的 不 同 主机 。 这 也 是 窗 盖 网 络 大 展 拳脚 的 地 方 ， 
它 允 许 读 者 创建 扁平 的 、 安 全 的 二 层 网 络 来 连接 多 个 主机 ， 容 器 可 以 
连接 到 上 履 兰 网 络 并 直接 互相 通信 。 


Docker 提供 了 原生 履 瘟 网络 的 文 持 ， 易 于 配置 且 非 常安 全。 
其 育 后 是 基于 Libnetwork 以 及 相应 的 驱动 来 构建 的 。 


e Libnetwork ° 


e SKB) ° 


Libnetwork 是 CNM 的 典型 实现 ， 从 而 可 以 通过 插 拔 驱动 的 方式 来 
实现 不 同 的 网 络 技术 和 拓扑 结构 。Docker 提 供 了 一 些 诸如 Over1lay 的 
原生 碟 动 ， 同 时 第 三 方 也 可 以 提供 张 动 。 


12.2 ”Docker 和 履 盖 网 络 一 一 详解 
在 2015 年 3 月 ，Docker 公 司 收购 了 一 个 叫 作 Socket Plane 的 网 络 初 
创 企 业 。 收 购 的 原因 有 二 ， 首 先是 因为 这 会 给 Docker 读 来 真正 意义 的 


o FER oe LL Ae RE, LSP A RA] 
以 配置 它 。 


Docker 公 司 在 这 两 点 上 都 取得 了 巨大 的 成 功 。 


_ 但 是 ， 简 洁 的 网 络 命令 实际 由 大 量 的 组 件 构成 。 这 部 分 内 容 是 在 
进行 生产 环境 部 署 和 问题 定位 前 必须 要 了 解 的 。 
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。 工作 原 理 。 


aA 在 Swarm 模 式 下 构建 并 测试 Docker 禾 盖 


要 完成 下 面 的 示例 ， 需 要 两 台 Docker 主 机 ， 并 通过 一 个 路 由 器 上 
两 个 独立 的 二 层 网 络 连接 在 一 起 。 如 图 12.1 所 示 ， 注 意 节点 位 不 同 
XX) Z o 


node1 


node2 


172.31.1.5 192.168.1.25 


ae 


图 12.1 连接 网 络 
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版 本 不 能 低 于 4.4 (高 版 本 更 好 ) ，Windows 需 要 Windows Server 2016 
版 本 ， 并 且 应 安装 最 新 的 补丁 。 


1. 构建 Swarm 


首先 需要 将 两 台 主 机 配置 为 包含 两 个 节点 的 Swarm 集群 。 接 下 来 
会 在 nodel 节 点 上 运行 docker swarm init 命令 使 其 成 为 管理 节 
点 ， 然 后 在 node2 节 点 上 运行 docker swarm join 命令 来 使 其 成 为 
THETA ° 


Iy 


RICA ma TE H sa 下面 的 示例 ， 则 需要 先 将 环境 中 的 人 P 地 址 、 
EF A o 


pig 
容器 ID 和 Token 等 替换 为 


在 nodel 节点 上 运行 下 面 的 命令 。 


$ docker swarm init \ 
--advertise-addr=172.31.1.5 \ 
--listen-addr=172.31.1.5:2377 


Swarm initialized: current node (1ex3...03px) 1S now a manager. 


在 node2 上 运行 下 面 的 命令 。 如 果 需 要 在 Windows 环 境 下 生效 ， 
则 需要 修改 Windows 防 火 墙 规则 ， 打 开 2377/tcp、7946/tcp 以 及 
7946/udp 等 几 个 端口 。 


$ docker swarm join \ 
--token SWMTKN-1-0hz2ec...2vye \ 
172.31.1.5:2377 


This node joined a swarm as a worker. 


现在 读者 已 经 拥有 了 包含 管理 和 点 nodel #1 _L/F 1 Anode? 两 个 
节点 的 Swarm 集群 了 。 


2. 创建 新 的 覆盖 网 络 


现在 创建 一 个 名 为 uber -net HAHN © 


在 nodel (HPT A) 节点 上 运行 下 面 的 命令 。 帮 要 这 些 命 令 在 
Windows 上 也 能 运行 ， 需 要 在 Windows Docker 点 上 添加 4789/udp 
规则 。 


$ docker network create -d overlay uber-net 
c740ydiilm89khn5kd52skrd9 


刚刚 创建 了 一 个 轿 新 的 覆盖 网 络 ， 能 连接 Swarm 集 群 内 的 所 有 主 
机 ， 并 且 该 网 络 还 包括 一 个 TLS 加 密 的 控制 层 ! 如 果 还 想 对 数据 层 加 


密 的 话 ， 只 需 在 命令 中 增加 -0 encrypted 参数 。 
可 以 通过 docker network ls 命令 列 出 每 个 下 点 上 的 全 部 网 络 。 


$ docker network ls 

NETWORK ID NAME DRIVER SCOPE 
ddac4ff813b7 bridge bridge local 
389a7e7e8607 docker_gwbridge bridge local 
a09f7e6b2ac6 host host local 
ehw16ycy980s ingress overlay swarm 
2b26c11d3469 none null local 
c740ydiilm89 uber-net overlay swarm 


在 Windows Docker 主 机 上 输出 内 容 如 下 。 


NETWORK ID NAME DRIVER 
8iltzv6ésbtgc ingress overlay 
6545b2a61b6f nat nat 


96d0d737c2ee none null 
nil5o0uh44qco uber -net overlay 


列表 的 最 下 方丈 是 刚刚 创建 的 网 络 uber-net。 其 他 的 网 络 是 在 安 奢 
Docker 以 及 初始 化 Swarm 集群 的 时 候 创 建 的 。 


如 果 在 node2 节点 上 运行 docker network ls 命令 ， 就 会 发 现 
无 法 看 到 uber-net 网 络 。 这 是 因为 只 有 当 运 行 中 的 容器 连接 到 用 盖 网 
络 的 上 时候， 该 网 络 才 变 为 可 用 状态 。 这 种 延迟 生效 策略 通过 减少 网 络 
梳理 ， 提 升 了 网 络 的 扩展 性 。 


3. 将 服务 连接 到 覆盖 网 络 


现在 履 盖 网 络 已 经 就 绪 ， 接 下 来 新 建 一 个 Docker 服 务 并 连接 到 该 
网 络 。Docker 服 务 会 包含 两 个 副本 (容器 ) ， 一 人 1 运行 在 nodel TA 
上 ， 一 个 运行 在 node2 节点 上 。 这 样 会 目 动 将 node2 T 47% Auber-net 
网 络 。 


在 nodel 世 点 上 运行 下 面 的 命令 。 


Linux 示 例如 下 。 


$ docker service create --name test \ 
--network uber-net \ 
--replicas 2 \ 


ubuntu sleep infinity 


Windows 示 例如 下 。 


docker service create --name test ` 

--network uber-net ` 

--replicas 2 ` 

microsoft\powershell:nanoserver Start-Sleep 3600 


Windows 示 例 使 用 反 引 号 的 方式 将 单条 
PowerShell 中 使 用 反 引 号 来 转 义 换行 字符 。 


， 以 提高 命令 的 可 读 性 。 


该 命令 创建 了 名 为 test 的 新 服务 ， 连 接 到 了 uber-net HAA E 


络 ， 并 且 还 基于 指定 的 镜像 创建 了 两 个 副本 (Bias) 。 在 两 个 示例 


中 ， 均 在 容 志 中 采用 sleep 命 令 来 剑 持 容器 运行 ， 并 在 休眠 结束 后 退出 
TE 


N 


由 于 运行 了 两 个 副本 (容器 ) ， 而 Swarm 包含 两 个 节点 ， 因 此 每 
个 节点 上 都 会 运行 一 个 副本 。 


可 以 通过 docker service ps 命令 来 确认 上 面 的 操作 。 


test 
NAME IMAGE NODE DESIRED STATE CURRENT STATE 
.rkx test.1 ubuntu node1 Running Running 


...pad test.2 ubuntu node2 Running Running 
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点 加 入 到 网 络 当中 。 这 意味 着 此 时 在 node2 斑点 上 束 可 以 看 到 uber-net 
网 络 了 。 


ave | 目前 已 经 成 功 在 两 个 由 物理 网 络 连接 的 入 点 上 创建 了 新 的 
复 兰 网络。 同时 ， 还 将 两 个 容 融 连接 到 了 该 网 络 当 中 。 多 么 简单 ! 


4. 测试 覆盖 网 络 


ENE LE H ping SR Ma ie PAS o 


如 图 12.2 所 示 ， 在 两 个 独立 的 网 络 中 分 别 有 一 台 Docker 主 机 ， 并 
且 两 者 都 搁 入 了 同一 个 履 兰 网 络 。 目 前 在 每 个 节点 上 都 有 一 个 容 禹 接 
入 了 和 窗 蓄 网 络 。 测 试 一 下 两 个 容器 之 间 古 否 可 以 ping 通 。 


node1 node2 


172.31.1.5 192.168.1.25 
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为 了 执行 该 测试 ， 需 要 知道 每 个 容 需 的 IP 地 址 〈 为 了 测试 ， 暂 时 
忽略 相同 覆 凋 网 络 上 的 容 禹 可 以 通过 名 称 来 互相 ping 通 的 事实 ) o 


运行 docker network inspect 查看 被 分 配给 履 盖 网 络 的 
Subnet 。 


$ docker network inspect uber-net 
[ 
{ 
"Name": "uber-net", 
"Id": "c740ydiilm89khn5kd52skrd9", 
"Scope": "swarm", 
"Driver": "overlay", 


"EnableIPv6": false, 
"IPAM": { 


"Driver": "default", 
"Options": null, 
"Config": [ 


"Subnet": "10.0.0.0/24", 
"Gateway": "10.0.0.1" 


由 以 上 输出 可 见 ，uber-net 的 子 网 是 10 .0.,0.0/24。 注 意 ， 这 
与 两 个 节点 的 任意 底层 物理 网 络 IP 均 不 相符 (172.31.1.0/24 和 


192.168.1.0/24) 。 


在 nodel 和 node2 下 点 上 运行 下 面 两 条 命令 。 这 两 条 命令 可 以 获 
取 到 容 絮 ID 和 IP 地 址 。 在 第 二 条 命令 中 一 定 要 使 用 读者 自己 的 环境 中 
的 容器 ID。 


$ docker container 1s 
CONTAINER ID IMAGE COMMAND CREATED 
STATUS 


396c8b142a85 ubuntu:latest "sleep infinity" 2 hours ago Up 2 
hrs 


$ docker container inspect \ 


--format='{{range .NetworkSettings.Networks}}{{.IPAddress}} 
{{end}}' \ 

396c8b142a85 
10.0.0.3 


读者 需要 在 两 台 节 点 上 分 别 运 行 上 述 命 令 ， 获 取 两 个 容器 的 ID 和 
IP 地 址 。 


= 


图 12.3 展 示 了 配置 现状 。 在 读者 的 环境 中 ， 子 网 和 IP 地 址 信息 可 
能 不 同 。 


node1 node2 


172:31:1:5 192.168.1.25 


| gB 


212.3 ”配置 现状 


由 图 可 知 ， 一 个 二 层 覆 盖 网 络 横路 两 台 主机 ， 并 且 每 个 容器 在 覆 
盖 网 络 中 都 有 自己 的 也 地 址 。 这 意味 着 nodel 节点 上 的 容器 可 以 通过 


INN 


node2 节点 上 容器 的 也 地 址 10.0.0.4 来 ping 通 ， 该 IP 地 址 属于 覆盖 网 


络 。 尽 管 两 个 节点 分 属于 不 同 的 二 层 网 络 ， 还 是 可 以 直接 ping 通 。 接 
下 来 验证 这 一 点 。 


登录 到 nodel War, FpingA— SH Aas ° 


在 Linux Ubuntu zs PHTI, FARRping 工具 包 。 
如 果 读 者 使 用 Windows PowerShell 示 例 ，ping 工具 已 默认 安装 。 


注意 ， 读 者 自己 本 地 环境 中 的 容 絮 ID 会 不 同 。 
Linux 示 例如 下 。 
$ docker container exec -it 396c8b142a85 bash 


root@396c8b142a85:/# apt-get update 


root@396c8b142a85:/# apt-get install iputils-ping 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 


Setting up iputils-ping (3:20121221-5ubuntu2) 
Processing triggers for 


libc-bin (2.23-Qubuntu3) 


root@396c8b142a85:/# ping 10.0.0.4 

PING 10.0.0.4 (10.0.0.4) 56(84) bytes of data. 

64 bytes from 10.0.0.4: icmp_seq=1 ttl=64 time=1.06 
64 bytes from 10.0.0.4: icmp_seq=2 tt1l=64 time=1.07 
64 bytes from 10.0.0.4: icmp_seq=3 ttl=64 time=1.03 
64 bytes from 10.0.0.4: icmp_seq=4 tt1l=64 time=1.26 
AC 

root@396c8b142a85:/# 


Windows 示 例如 下 。 


> docker container exec -it 1a4f29e5a4b6 pwsh.exe 
Windows PowerShell 
Copyright (C) 2016 Microsoft Corporation. All rights reserved. 


PS C:\> ping 10.0.0.4 


Pinging 10.0.0.4 with 32 bytes of data: 

Reply from 10.0.0.4: bytes=32 time=ims TTL=128 
Reply from 10.0.0.4: bytes=32 time<ims TTL=128 
Reply from 10.0.0.4: bytes=32 time=2ms TTL=128 
Reply from 10.0.0.4: bytes=32 time=2ms TTL=12 
PS C:\> 


恭喜 。nodel ENA as A) LNM m Zh pingiinode2 2 EN Aas 
Y o 


读者 还 eaten a SLs 的 路 由 信息 。 路 由 信息 只 有 


一 跳 ， 证 明 容 器 间 通 信 确 实 通 过 和 窗 蓄 网 络 直 连 一 一 无 须 关 心 属 层 网 
络 ， 这 太 省 心 了 。 


希望 Linux 示 例 中 的 traceroute 可 执行 ， 读 者 需要 安装 traceroute 包 。 


Linux 示 例如 下 。 


$ root@396c8b142a85:/# traceroute 10.0.0.4 
traceroute to 10.0.0.4 (10.0.0.4), 30 hops max, 60 byte packets 


1 test-svc.2.97v...a5.uber-net (10.0.0.4) 1.110ms 1.034ms 1.073ms 


Windows 示 例如 下 。 


PS C:\> tracert 10.0.0.3 


Tracing route to test.2.ttcpiv3p...704.uber-net [10.0.0.4] 
over a maximum of 30 hops: 


1 <1 ms <1 ms <1 ms test.2.ttcpiv3p...704.uber-net [10.0.0.4] 


Trace complete. 
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于 不 同 的 二 层 网 络 。 在 找 出 两 台 容 右 的 JP 之 后 ， 验 证 了 容器 可 以 通过 
黎 盖 网 络 完成 直 连 


12.2.2 ”工作 原理 


现在 读者 已 经 知道 如 何 创建 并 使 用 容 右 窗 盖 网 络 ， 接 下 来 请 读者 
跟 本 书 一 起 找 出 这 一 切 背 后 的 技术 原理 。 


本 廊 中 某 些 细 市 特 指 Linux， 但 是 同样 的 原理 在 Windows 中 也 生 
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网 络 。 所 以 ， 在 详解 之 前 ， 苑 快速 了 解 一 人 VXLAN。 


在 VXLAN 的 设计 中 ， 人 允许 用 户 基 于 已 经 存在 的 三 层 网 络 结构 创建 
虚拟 的 二 层 网 络 。 在 前 面 的 示例 中 创建 了 一 个 子 网 掩 码 为 10.0.0.0/24 的 
二 层 网 络 ， 该 网 络 是 基于 一 个 三 层 IP 网 络 实现 的 ， 三 层 IP 网 络 由 
172.31.1.0/24 和 192.168.1.0/24 这 两 个 二 层 网 络 构 成 。 具 体 如 图 12.4 所 
ZK ° 


节点 1 节点 2 


IP 传 输 层 网 络 
(L3) 


12.4 创建 虚拟 的 二 层 网 络 


VXLAN 的 美妙 之 处 在 于 它 是 一 种 封装 技术 ， 能 使 现存 的 路 由 器 和 
网 络 架 构 看 起 来 就 像 普 通 的 IP/UDP 包 一 样 ， 并 且 处 理 起 来 毫 无 问题 。 
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道 。 读 者 可 能 听 过 基础 网 络 (Underlay Network) 这 个 术语 ， 它 用 于 指 
代 三 层 之 下 的 基础 部 分 。 


VXLAN 隧 道 两 端 都 是 VXLAN 隧 道 终端 (VXLAN Tunnel 


Endpoint, VTEP) 。VTEP 完 成 了 封装 和 解压 的 步 又， 以 及 一 些 功能 实 
现 所 必需 的 操作 ， 如 图 12.5 所 示 。 


2. 梳理 一 下 两 个 容器 的 示例 


在 前 面 的 示例 中 ， 读 者 通过 IP 网 络 将 两 台 主 机 连接 起 来 。 每 个 主 
机 运行 了 一 个 容器 ， 之 后 义 为 容 旧 连接 创建 了 一 个 VXLAN 禾 萃 网 络 。 


为 了 实现 上 述 场景 ， 在 每 台 主机 上 都 新 建 了 一 个 Sandbox (网 络 命 
名 空间 ) 。 正 如 前 文 所 讲 ，Sandbox 就 像 一 个 容器 ， 但 其 中 运行 的 不 是 
应 用 ， 而 是 当前 主机 上 独立 的 网 络 栈 。 


节点 1 节点 2 


i VXLAN 隧 道 
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E 


三 层 IP 传 输 ( 下 层 网 络 ) 


图 12.5 VXLAN 设 计 


在 Sandbox 内 部 创建 了 一 个 名 为 Br0 的 虚拟 交换 机 (又 称 做 虚拟 网 
桥 ) 。 同 时 Sandbox 内 部 还 创建 了 一 个 VTEP， 其 中 一 端 接 入 到 名 为 
Bro 的 虚拟 交换 机 当中 ， 另 一 端 接 入 主机 网 络 栈 (VTEP) 。 在 主机 网 
络 栈 中 的 终端 从 主机 所 连接 的 基础 网 络 中 获取 到 IP 地 址 ， 并 以 UDP 
Socket 的 方式 绑 定 到 4789 端 口 。 不 同 主机 上 的 两 个 VTEP 通 过 VXLAN 
隧道 创建 了 一 个 履 盖 网 络 ， 如 图 12.6 所 示 。 


172.31.1.5 192.168.1.25 


三 层 |P 传 输 网 络 


图 12.6 不 同 主机 的 VTEP 创 建 履 盖 网 络 
这 是 VXLAN 上 层 网 络 创建 和 使 用 所 必需 的 。 


接 下 来 每 个 容器 都 会 有 上 自己 的 虚拟 以 太 网 (veth) 适配器 ， 并 
接 入 本 地 Br0 虚拟 交换 机 。 目 前 拓扑 结构 如 网 12.7 所 示 ， 虽 然 是 在 主 
机 所 属 网 络 互相 独立 的 情况 下 ， 但 这 样 能 更 容易 看 出 两 个 分 别 位 于 不 
同 主机 上 的 容器 之 间 是 如 何 通 过 VXLAN 上 层 网 络 进行 通信 的 。 


节点 2 
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图 12.7 以 太 网 (veth) 适配器 接 入 本 地 Br0 虚 拟 交换 机 


3. 通信 示例 


现在 读者 已 经 了 解 了 基本 原理 ， 接 下 来 跟随 本 书 一 起 探究 两 个 容 
器 间 究 竟 是 如 何 通信 的 。 


在 本 例 中 ， 将 nodel 上 的 容器 称 为 C1 , node2 ENA aie AC2 ， 
如 图 12.8 所 示 。 假 设 C1 希望 ping 通 C2 ， 类 似 前 面 章节 中 的 示例 。 


C1 发 起 ping 请 求 ， 目 标 I 为 C2 的 地 址 10.0.0.4。 该 请 求 的 流 
量 通过 连接 到 Br0 虚拟 交换 机 的 veth 接 口 发 出 。 虚 拟 交换 机 并 不 知道 
将 包 发 送 到 哪里 ， 因 为 在 虚拟 交换 机 的 MAC 地 址 映射 表 (ARPIT 
K) 中 并 没有 与 当前 目的 IP 对 应 的 MAC 地 址 。 所 以 虚拟 交换 机 会 将 该 
包 发 送 到 其 上 的 全 部 端口 。 连 接 到 Br0 的 VTEP 接 口 知道 如 何 转发 这 个 
数据 帧 ， 所 以 会 将 自己 的 MAC 地 址 返回 。 这 就 是 一 个 代理 ARP 响 应 ， 
并 且 虚 拟 交 换 机 Br0 根据 返回 结果 学 会 了 如 何 转 发 该 包 。 接 下 来 虚拟 
I 


现在 Br0 交换 机 已 经 学 会 如 何 转 发 目标 为 C2 的 流量 ， 接 下 来 所 有 
发 送 到 C2 的 包 都 会 被 直接 转发 天 VTEP 接 口 。VTEP 接 口 知道 C2 ， 是 
因为 所 有 新 启动 的 容器 都 会 将 自己 的 网 络 详情 采用 网 络 内 置 Gossip 协 
议 发 送 给 相同 Swarm 集群 内 的 其 他 节点 。 
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图 12.8 ”为 容器 设置 了 IP 地 址 


交换 机 会 将 包 转 发 到 VTEP 接 口 ，VTEP 完 成 数据 帧 的 封装 ， 这 样 
就 能 在 底层 网 络 传输 。 有 具体 来 说 ， 封 装 操作 就 是 把 VXLAN Header 信 
息 添 加 以 太 幅 当中 。 


VXLAN Header 信 息 包含 了 VXLAN 网 络 ID (VNID) ， 其 作用 是 
记录 VLAN 到 VXLAN 的 映射 天 系 。 每 个 VLAN 都 对 应 一 个 VNID LA 
便 包 可 以 在 解析 后 被 转发 到 正确 的 VLAN。 封 装 的 时 候 会 将 数据 帧 放 
到 UDP 包 中 ， 并 设置 UDP 的 目的 IP 字 段 为 node2 节 点 的 VTEP 的 IP 地 
址 ， 同 时 设置 UDP Socket 端 口 为 4789。 这 种 封装 方式 保证 了 底层 网 络 
即使 不 知道 任何 关于 VXLAN 的 信息 ， 也 可 以 完成 数据 传输 。 


当 包 到 达 node2 之 后 ， 内 核发 现 目的 端口 为 UDP 端口 4789， 同 时 还 
知道 存在 VTEP 接 口 绑 定 到 该 Socket。 所 以 内 核 将 包 发 给 VTEP， 由 
VTEP 读 取 VNID， 解 压 包 信息 ， 并 根据 VNID 发 送 到 本 地 名 为 Br0 的 连 
接 到 VLAN 的 交换 机 。 在 该 交换 机 上 ， 包 被 发 送 给 容 絮 C2。 


以 上 大 体 介绍 了 Docker 窗 盖 网 络 是 如 何 利 用 VXLAN 技 术 的 。 


在 本 蔬 只 进行 了 比较 基础 的 介绍 ， 但 应 该 足够 读者 开始 着 手 
Docker 和 后 产 环境 的 部 署 了 。 同 时 这 些 知识 也 足以 让 读者 与 网 络 团队 沟 
通 Docker 基 础 设置 中 网 络 相 关 的 内 容 了 。 


最 后 一 件 需 要 注意 的 是 ，Docker 支 持 使 用 同样 的 覆盖 网 络 实现 三 
层 路 由 。 例 如 ， 读 者 可 以 创建 包含 两 个 子 网 的 覆盖 网 络 ，Docker 会 负 
责 子 网 间 的 路 由 。 创 建 的 命令 如 docker network create -- 
subnet=10.1.1.0/24 --subnet=11.1.1.0/24 -d overlay 
prod-net 。 该 命令 会 在 Sandbox 中 创建 两 个 虚拟 交换 机 ， 默 认 支 持 
路 由 。 


12.3 Docker7# m2 命令 


e docker network create 是 创建 新 网 络 所 使 用 的 命令 。-d 参 
数 允 许 用 户 指 定 所 用 驱动 ， 常 见 的 驱动 是 Overlay 。 也 可 以 选择 
使 用 第 三 方 驱动 。 对 于 履 盖 网 络 ， 控 制 层 默认 是 加 密 的 。 需 要 指 
人 encrypted 对 数据 层 进行 加 密 (会 导致 额外 的 性 能 开 


e docker network ls 用 于 列 出 Docker 主 机 上 全 部 可 见 的 容 恬 网 
络 。Swarm 模 式 下 的 Docker 主 机 只 能 看 到 已 经 接 入 运行 中 的 容 需 
的 网 络 。 这 种 方式 保证 了 网 络 Gossip 开 销 最 小 化 。 

e docker network inspect 用 于 查看 特定 容器 网 络 的 详情 。 其 
中 包括 范围 ` 驱动 、IPv6、 子 网 配置 、VXLAN 网 络 ID 以 及 加 密 状 


e docker network rm 删除 指定 网 络 。 


12.4 ”本 章 小 结 


本 章 首 先 介 绍 了 通过 docker network create 命令 创建 新 的 
Docker 窗 盖 网 络 有 多 简单 。 拉 下 来 介绍 了 Docker 如 何 利 用 VXLAN 技 术 
来 实现 网 络 间 的 连接 。 


本 章 介 绍 的 内 容 只 是 Docker 歼 善 网 络 全 部 功能 的 冰山 一 角 。 


第 13 章 ” 卷 与 持久 化 数据 


古 时 候 了 解 Docker 如 何 管理 数据 了 。 本 书 会 关注 持久 化 和 非 持 久 
化 数据 。 但 在 本 草 ， 会 着 重 关 注 持久 化 数据 。 


本 章 内 容 按 惯例 分 为 3 个 部 分 。 
| 


en m ari 
E 
。 简 介 。 
。 详解。 
。 命令 。 


13.1 卷 与 持久 化 数据 一 一 简介 


数据 主要 分 为 两 类 ， 持 久 化 的 与 非 持久 化 的 。 


持久 化 数据 是 需要 保存 的 数据 。 例 如 客 己 信息、 财务、 预定 、 审 
ee 


两 者 都 很 重要 ， 并 且 Docker 均 有 对 应 的 支持 方式 。 

每 个 Docker 容 需 都 有 目 己 的 非 持 人 久 化 存储 。 非 持久 化 存储 目 动 创 
建 ， 从 属于 容 右 ， 生 命 周期 与 容 右 相同 。 这 意味 着 删除 容 占 也 会 删除 
全 部 非 持 久 化 数据 。 

如 有 果 和 希望 目 己 的 容器 数据 保留 下 来 (持久 化 ， 则 需要 将 数据 存 
储 在 卷 上 。 卷 与 容 右 十 解 布 的， 从 而 可 以 独立 地 创建 并 管理 卷 ， 并 且 
卷 并 未 与 任意 容器 生命 周期 绑 定 。 最 终 效 果 即 用 户 可 以 删除 一 个 关联 
了 卷 的 容 右 ， 但 是 卷 并 不 会 被 删除 。 


人 简介 到 此 为 止 。 接 下 来 进行 深入 了 解 。 


13.2 ” 卷 与 持久 化 数据 一 一 详解 
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就 是 用 于 临时 场景 。 


但 这 种 说 法 是 错误 的 ， 而 且 是 大 错 特 错 ， 
13.2.1 容器 与 非 持 久 数 据 


这 无 疑问 ， 容 需 擅 长 无 状态 和 非 持 久 化 事务 。 


每 个 容 需 都 被 目 动 分 配 了 本 地 存储 。 默 认 情 况 下 ， 这 是 容 丹 全 间 
文件 和 文件 系统 保存 的 地 方 。 读 者 可 能 听 过 一 些 非 持久 存储 相关 的 名 
称 ， 如 本 地 存储 、GraphDriver 存 储 以 及 SnapShotter 存 储 。 总 之 ， 非 持 
久 存 储 属 于 容器 的 一 部 分 ， 并 日 与 容器 的 生命 周期 一 外 Rae fl 
ele 同时 该 存储 也 会 随 容 器 的 删除 而 删除 。 很 简 


在 Linux 系 统 中 ， 该 存储 的 目录 
在 /var/1ib/docker/<storage-driver>/ 之 下 ， 是 容器 的 一 部 
分 。 在 Windows 系 统 中 位 于 
C\ProgramData\Docker\windowsfilter\ 目录 之 下 。 


如 果 在 生产 环境 中 使 用 Linux 运 行 Docker， 需 要 确认 当前 存储 驱动 
(GraphDriver) 与 Linux 版 本 是 否 相 符 。 下 面 列举 了 一 些 指 导 建 议 。 


。 RedHat Enterprise Linux: Docker 17.06 或 者 更 高 的 版 本 中 使 用 
Overlay2 驱动 。 在 更 早 的 版 本 中 ， 使 用 Device Mapper 3k 
动 。 这 适用 于 Oracle Linux 以 及 其 他 Red Hat 相 关 发 行 版 。 

e Ubuntu: 使 用 0verlay2 或 者 AUFS 驱动 。 如 果 读 者 正在 使 用 
Linux4.x 或 者 更 高 版 本 的 内 核 ， 建 议 使 用 0verlay2 。 

e SUSE Linux Enterprise Server: 使 用 Btrfs 存储 驱动 。 

e Windows: Windows 只 有 一 种 驱动 ， 已 经 默认 设置 。 


上 壕 清 单 只 作为 建议 。 随 着 时 间 发 展 ，0verlay2 KAEZH 
流行 ， 可 能 在 未 来 会 成 为 大 多 数 平台 上 的 推荐 存储 驱动 。 如 果 读 者 使 


用 Docker 企 业 版 (EE) ， 并 且 有 技术 支持 合约 ， 建 议 通 过 咨询 获取 最 
THAR LAER © 


继续 回 到 正题 。 


上 默认 情况 下 ， 容 右 的 所 有 存储 都 使 用 本 地 存储 。 所 以 默认 情况 下 
容器 全 部 目录 部 是 用 该 存储 。 


如 琳 容 絮 不 产生 持久 化 数据 ， 那 么 本 地 存储 即 可 满足 需求 并 且 能 
a (EH ° BERAK ORS, Wena BE I13.2.279 


13.2.2 ”容器 与 持久 化 数据 


在 容 右 中 持久 化 数据 的 方式 推荐 采用 卷 。 

总 体 来 说 ， 用 户 创 建 卷 ， 然 后 创建 容器 ， 接 奢 将 卷 挂 载 到 容 尼 
上 。 卷 会 挂 载 到 容 砷 文件 系统 的 某 个 目录 之 下 ， 任 何 写 到 该 目录 下 的 
内 容 剖 会 写 到 着 中。 即使 容器 被 删除 ， 卷 与 其 上 面 的 数据 仍然 存在 。 


如 图 13.1 所 示 ，Docker 卷 挂 载 到 容 絮 的 /code 目录 。 任 何 写 
入 /code 目录 的 数据 都 会 保存 到 卷 当中 ， 并 且 在 容器 删除 后 依然 存 


在 o 
/ 
-> bin 
CT l 
dev 
etc 


图 13.1 Docker 卷 挂 载 到 容器 的 /code 目录 


图 13.1 中 ，/code 目录 是 一 个 Docker 卷 。 容 器 其 他 目录 均 使 用 临 
时 的 本 地 存储 。 卷 与 目录 /code 之 间 采 用 带 箭 头 的 虚线 连接 ， 这 是 为 
了 表明 卷 与 容器 是 非 耦合 的 关系 。 


1. 创建 和 管理 容器 着 


Docker 中 卷 属于 一 等 公民 。 抛 开 其 他 原因 ， 这 意味 着 卷 在 API 中 
拥有 一 席 之 地 ， 并 且 有 独立 的 docker volume 于 命令 。 


使 用 下 面 的 命令 创建 名 为 myvol 的 新 卷 。 


$ docker volume create myvol 


默认 情况 下 ，Docker 创 建 狐 卷 时 采用 内 置 的 local 驱动 。 恰 如 其 
名 ， 本 地 卷 只 能 个 所 在 广 点 的 容 强 使 用 。 使 用 -d 参数 可 以 指定 不 同 的 
驱动 。 


第 三 方 驱 动 可 以 通过 插件 方式 接 入 。 这 些 张 动 所 供 了 高 级 存储 特 


性 ， 并 为 Docker 集 成 了 外 部 存储 系统 。 图 13.2 展 示 的 殉 是 外 部 存储 系 
统 补 用 作 卷 存储 。 驱 动 集成 了 外 部 存储 系统 到 Docker 环 境 当 中 ， 同 时 


能 使 用 其 高 级 特性 。 


p 


=m 向 ome “一 插件 /驱动 Docker 卷 
第 三 方 存储 系统 


图 13.2 ”外 部 存储 接 入 Docker 


截至 本 书 撰写 时 ， 已 经 存在 25 种 卷 插 件 ， 渔 击 了 块 存 储 、 文 件 存 
储 、 对 和 象 存储 等 。 


。 块 存储 : ”相对 性 能 更 高 ， 适 用 于 对 小 块 数据 的 随机 访问 负载 。 目 
前 支持 Docker 卷 插件 的 块 存储 例子 包括 HPE 3PAR ` Amazon EBS 
以 及 OpenStack 块 存储 服务 (Cinder) 。 

。 文件 存储 : 包括 NFS 和 SMB 协 议 的 系统 ， 同 样 在 高 性 能 场景 下 表 
现 优异 。 支 持 Docker 卷 插件 的 文件 存储 系统 包括 NetApp FAS ` 
Azure 文 件 存储 以 及 Amazon EFS ° 

。 对 象 存储 : 适用 于 较 大 且 长 期 存储 的 、 很 少 变更 的 二 进 制 数 据 存 
储 。 通 常 对 象 存储 是 根据 内 容 寻 址 ， 并 且 性 能 较 低 。 支 持 Docker 
BIRKAM TE Amazon S3、Ceph 以 及 Minio。 


现在 卷 已 经 创建 成 功 ， 读 者 可 以 通过 docker volume ls 命令 
进行 查看 ， 还 可 以 使 用 docker volume inspect 命令 查看 详情 。 


$ docker volume ls 
DRIVER VOLUME NAME 
local myvol 


$ docker volume inspect myvol 
[ 
"CreatedAt": "2018-01-12T12:12:10Z", 
"Driver": "local", 
"Labels": {}, 
"Mountpoint": "/var/lib/docker/volumes/myvol/_data", 
"Name": "myvol", 
"Options": {}, 
"Scope": "local" 


inspect 命令 输出 中 有 几 点 很 有 意思 。Driver 和 Scope 都 是 Local 
° 这 意味 着 卷 使 用 默认 local 驱动 创建 ， 只 能 用 于 当前 Docker 主 机 上 
的 容器 。Mountpoint 属性 说 明 卷 位 于 Docker 主 机 上 的 位 置 。 在 本 例 
中 卷 位 于 Docker 主 机 
H)/var/lib/docker/volumes/myvol/_data 目录 。 在 Windows 
Docker 主 机 上 对 应 内 容 为 Mountpoint": 
"C:\\ProgramData\\Docker\\ volumes\\myvol\\_data ° 


使 用 local 驱动 创建 的 卷 在 Docker 主 机 上 均 有 其 专属 目录 ， 在 
Linux t fizF/var/lib/docker/volumes 目录 下 ， 在 Windows 中 位 


FC:\ProgramData\Docker\volumes 目录 下 。 这 意味 着 可 以 在 
Docker 主 机 文件 系统 中 查看 卷 ， 甚 至 在 Docker 主 机 中 对 其 进行 读 取 数 
据 或 者 写 入 数据 操作 。 在 第 9 章 中 就 有 一 个 示例 一 一 复制 某 个 文件 到 
Docker 主 机 的 卷 目 录 下 ， 在 容器 该 卷 中 立刻 就 能 看 到 对 应 的 文件 。 

读者 可 以 在 Docker 服 务 以 及 容器 中 使 用 myvol 卷 了 。 例 如 ， 可 以 
在 docker container run 命令 后 增加 参数 - -flag 将 卷 挂 载 到 新 
建 容器 中 。 稍 后 通过 几 个 例子 进行 说 明 。 


有 两 种 方式 删除 Docker 卷 。 


e docker volume prune ° 
e docker volume rm ° 


docker volume prune 会 删除 未 狼 入 到 某 个 容器 或 者 服务 的 
所 有 卷 ， 所 以 谨慎 使 用 |! docker volume rm 允许 删除 指定 卷 。 两 
种 删除 命令 都 不 能 删除 正在 被 容器 或 者 服务 使 用 的 卷 。 

因为 没有 使 用 myvol 卷 ， 所 以 请 通过 prune 命令 进行 删除 。 


$ docker volume prune 


WARNING! This will remove all volumes not used by at least one 
container. 
Are you sure you want to continue? [y/N] y 


Deleted Volumes: 
myvol 
Total reclaimed space: OB 


茶 喜 ， 现 在 已 经 完成 创建 、 查 看 以 及 删除 卷 的 操作 了 “。 上 述 操 作 
均 未 涉及 容器 ， 这 也 验证 了 卷 是 独立 的 这 一 特性 。 


到 目前 ， 读 者 已 经 了 解 了 卷 的 创建 、 列 表 、 查 看 以 及 删除 命令 。 
此 外 ， 还 可 以 通过 在 Dockerfile 中 使 用 VOLUME 指令 的 方式 部 署 卷 。 具 
体 的 格式 为 VOLUME <container-mount-point 。 但 是 , 在 
Dockerfile 中 无 法 指定 主机 目录 。 这 是 因为 主机 目录 通常 情况 下 是 相对 
主机 的 一 个 目录 ， 意 味 着 这 个 目录 在 不 同 主机 间 会 变化 ， 并 且 可 能 导 


i iia 。 如 采 通 过 Dockerfile 指 定 ， 那 么 每 次 部 署 时 都 需要 指定 主 


2. 演示 卷 在 容器 和 服务 中 的 使 用 


现在 读者 已 经 了 解 了 卷 相关 的 基本 命令 ， 接 下 来 看 一 下 如 何在 容 
器 和 服务 中 使 用 卷 。 


接 下 来 的 内 容 是 基于 某 个 没有 卷 的 系统 ， 演 示 内 容 适 用 于 Linux 和 


Windows ° 


使 用 下 面 的 命令 创建 一 个 新 的 独立 容器 ， 并 挂 载 一 个 名 为 
bizvol 的 卷 。 


Linux 示 例如 下 。 


$ docker container run -dit --name voltainer \ 


--mount source=bizvol, target=/vol \ 


alpine 


Windows 示 例如 下 。 


所 有 的 Windows 示 例 都 在 PowerShell 中 执行 ， 请 注意 反 引 号 C) 
用 于 将 命令 拆 至 多 行 。 


> docker container run -dit --name voltainer ` 
--mount source=bizvol, target=c:\vol ` 


microsoft/powershell:nanoserver 


即使 系统 中 没有 叫 作 bizvol 的 卷 ， 命 令 也 应 该 能 够 成 功 运行 。 
这 里 引出 了 很 有 意思 的 一 总。 


。 如 果 指 定 了 已 经 存在 的 卷 ，Docker 会 使 用 该 卷 。 


。 如 果 指 定 的 卷 不 存在 ，Docker 会 创建 一 个 卷 。 


在 当前 示例 中 ，bizvol 这 个 卷 并 不 存在 ， 所 以 Docker 新 建 一 个 
卷 并 挂 载 到 新 容器 内 部 。 这 意味 看 读者 可 以 通过 docker volume 
ls 命令 看 到 该 卷 。 


$ docker volume ls 
DRIVER VOLUME NAME 


local bizvol 


尽管 容器 和 卷 各 自 拥 有 独立 的 生命 周期 ，Docker 也 不 允许 删除 正 
在 被 容 絮 使 用 的 卷 。 


$ docker volume rm bizvol 


Error response from daemon: unable to remove volume: volume is in 
use - 


[b44 d3f82...dd2029ca] 


目前 卷 是 空 的 。 执 行 exec 连接 到 容器 并 向 卷 中 写 入 一 部 分 数 

据 。 示 例 引 用 的 是 Linux， 如 果 读 者 使 用 Windows 示 例 ， 则 需要 将 
docker container exec 命令 结尾 的 sh 替换 为 pwsh.exe。 其 他 
命令 在 Linux 和 Windows 上 面 均 可 以 生效 。 


$ docker container exec -it voltainer sh 


/# echo "I promise to write a review of the book on Amazon" > 
/vol/filei 


/# ls -1 /vol 
total 4 


-rw-r--r-- 1 root root 50 Jan 12 13:49 file1 


/# cat /vol/file1 
I promise to write a review of the book on Amazon 


$ docker container rm voltainer -f 
voltainer 
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$ docker container ls -a 
CONTAINER ID IMAGE COMMAND CREATED STATUS 


$ docker volume ls 


DRIVER VOLUME NAME 
local bizvol 


由 于 卷 仍然 存在 ， 因 此 可 以 进入 到 其 在 主机 的 挂 载 点 并 查看 前 面 
写 入 的 数据 是 否 还 在 。 


在 Docker 主 机 的 终端 上 执行 下 面 的 命令 。 第 一 条 命令 会 证 明文 件 
依然 存在 ， 第 三 条 命令 展示 了 文件 的 内 容 


如 果 是 Windows 示 例 ， 一 定 要 使 用 
C:\ProgramData\Docker\volumes\bizvol\ data 日 录 。 


$ ls -1 /var/lib/docker/volumes/bizvol/_data/ 
total 4 
-rw-r--r-- 1 root root 50 Jan 12 14:25 file1 


$ cat /var/lib/docker/volumes/bizvol/_data/file1 
I promise to write a review of the book on Amazon 


太 棒 了 ， 卷 和 数据 都 还 在 。 


甚至 将 bizvol 挂 载 到 一 个 新 的 服务 或 者 容 絮 都 是 可 以 的 。 下 面 
的 命令 会 创建 一 个 名 为 hellcat 的 新 Docker 服 务 ， 并 且 将 bizvol 挂 
载 到 该 服务 副本 的 /vol H © 


$ docker service create \ 
--name hellcat \ 
--mount source=bizvol, target=/vol \ 
alpine sleep 1d 


overall progress: 1 out of 1 tasks 
1/1: running [====================================>]] 
verify: Service converged 


上 壕 命令 没有 指定 --replicas 参 数 ， 所 以 服务 只 会 部 署 一 个 副本 。 
找到 Swarm 集群 中 运行 了 该 服务 的 节点 。 


$ docker service ps hellcat 
NAME NODE DESIRED STATE CURRENT STATE 
hellcat.1 node1 Running Running 19 
seconds ago 
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取 服 务 副本 容器 ID。 


node1$ docker container ls 
CTR ID IMAGE COMMAND STATUS 
df6..a7b alpine:latest "sleep 1d" Up 25 secs 


hellcat.1.13nh... 


注意 ， 容 器 的 名 称 包 括 了 service-name » replica-number 
以 及 replica-ID ， 采 用 句号 分 隔 。 


登录 到 该 容 絮 并 检查 数据 是 否 在 /vol 中 。 在 exec 例 子 中 会 使 用 服 
务 副 本 的 容器 ID。 如 果 读 者 使 用 Windows 示 例 ， 记 得 将 sh 替换 为 
pwsh.exe ° 


node1$ docker container exec -it df6 sh 


/# cat /vol/filel1 


I promise to write a review of the book on Amazon 


这 样 卷 中 保存 了 原始 数据 ， 并 且 在 新 容器 中 也 可 以 使 用 。 


13.2.3 ERT RSA 


Docker 能 够 集成 外 部 存储 系统 ， 使 得 集群 间 节 点 共享 外 部 存储 数 
据 变 得 简单 。 例 如 ， 独 立 存 储 LUN 或 者 NFS 共 享 可 以 应 用 到 多 个 
Docker 主 机 ， 因 此 无 论 容 器 或 者 服务 副本 运行 在 哪个 节点 上 ， 都 可 以 
共享 该 存储 。 图 13.3 展 示 了 位 于 共享 存储 的 卷 被 两 个 Docker 节 点 共享 
的 场景 。 接 下 来 这 些 Docker 节 点 可 以 将 共享 卷 应 用 到 容器 之 上 。 


构建 这 样 的 环境 需要 外 部 存储 系统 的 相关 知识 ， 并 了 解 应 用 如 何 
从 共 至 存储 读 取 或 者 写 入 数据 。 


这 种 配置 主要 关注 数据 损坏 (Data Corruption) 


基于 图 13.3， 设 想 下 面 的 场景 :Node 1 上 的 容器 A 在 共享 卷 中 更 新 
了 部 分 数据 。 但 是 为 了 快速 返回 ， 数 据 实 际 写 入 了 本 地 缓存 而 不 是 着 
中 。 此 时 ， 容 器 A 认 为 数据 已 经 更 新 。 但 是 ， 在 Node 1 的 容器 A 将 缓存 
数据 刷新 并 提交 到 卷 前 ，Node 2 的 容 右 B 更 新 了 相同 部 分 的 数据 ， 但 
征 值 不 同 ， 并 且 更 新 方式 为 直接 写 入 卷 中 。 此 时 ， 两 个 容 船 均 认 为 目 
己 已 经 将 数据 写 入 眷 中 ， 但 实际 上 只 有 容 郁 B 写 入 了 “。 容 种 A 会 在 稍 后 
HA CWRERUES ARE, Mitt [Node 2 的 容 釉 B 所 做 的 一 些 变 
更 。 但 是 Node 2 上 的 容器 B 对 此 一 无 所 知 。 数 据 损坏 就 是 这 样 发 生 


的 。 
m 
— Å 一 一 
第 三 方 存储 系统 


容器 B 


图 13.3 ”位 于 共享 存储 的 卷 被 两 个 Docker 节 点 共享 


为 了 避免 这 种 情况 ， 需 要 在 应 用 程序 中 进行 控制 。 


13.3 ”着 与 持久 化 数据 -命令 


docker volume create 命令 用 于 创建 狐 卷 。 默 认 情 况 下 ， 新 
ileal local 驱动 ， 但 是 可 以 通过 -d 参数 来 指定 不 同 的 驱 
A ° 

docker volume ls 会 列 出 本 地 Docker 主 机 上 的 全 部 卷 。 
docker volume inspect 用 于 碍 看 卷 的 详细 信息 。 可 以 使 用 
该 命令 查看 卷 在 Docker 主 机 文件 系统 中 的 具体 位 置 。 

docker volume prune 会 删除 未 被 容器 或 者 服务 副本 使 用 的 
SE o EAE |! 

e docker volume rm 删除 未 被 使 用 的 指定 卷 。 


13.4 ”本 章 小 结 


数据 主要 分 为 两 类 ， 持久 化 和 非 持久 化 数据 。 持 久 化 数据 是 需要 
保存 的 ， 而 非 持久 化 数据 不 需要 。 默 认 情 况 下 ， 所 有 容 需 都 有 与 目 吴 
声明 周期 相同 的 非 持 久 化 存储 一 一 本 地 存储 ， 它 非常 适用 于 非 持 久 化 
数据 。 如 果 容 絮 需 要 创建 长 期 保存 的 数据 ， 最 好 将 数据 存储 到 
Docker o 


Docker 卷 是 Docker API 中 的 一 等 公民 ， 并 使 用 docker volume 
子 命 令 独 立 管 理 。 这 意味 着 删除 容 姻 并 不 会 删除 容器 所 使 用 的 卷 。 


在 Docker 环 境 中 ， 推 荐 使 用 卷 来 保存 持久 化 数据 。 


第 14 章 ”使 用 Docker Stack 部 署 应 用 


大 规模 场景 下 的 多 服务 部 车 和 管理 是 一 件 很 难 的 事情 。 


幸运 的 是 ，Docker Stack 为 解决 该 问题 而 生 ! Docker Stack 通 过 提 
供 期 望 状态 、 TRENT » 简单 易 用 、 扩 缩 容 、 健 康 检查 等 特性 简化 了 
应 用 的 管理 ! 这 些 功 能 都 封装 在 一 个 完美 的 声明 式 模 型 当中 。 太 移 
T! 


如 采 读 者 现在 是 第 一 次 接触 这 些 术 语 ， 或 者 感 觉 难 以 理解 ， 请 不 
要 担心 ! 在 阅读 完 本 章 后 ， 束 能 理解 这 些 概念 了 ! 


本 章 内 容 按 惯例 分 为 3 个 部 分 。 


。 简 介 。 
。 详解 。 
(J 


AA 
ME ° 


14.1 使 用 Docker Stack 部 署 应 用 一 一 简介 


在 笔记 本 上 测试 和 部 署 简单 应 用 很 容易 。 但 这 只 能 算 业 余 选 手 。 
A ee 这 才 是 专业 选手 的 
7 M | 


幸运 的 是 ，Stack 正 为 此 而 生 ! Stack 能 够 在 单个 声明 文件 中 定义 复 
杂 的 多 服务 应 用 。Stack 还 提供 了 人 商 单 的 方式 来 部 车 应 用 并 管理 其 完整 
初始 化 部 署 > 健康 检查 > 扩容 > 更 新 > 回 深 ， 以 及 其 他 
功能 |! 


步 又 很 简单 。 在 Compose 文 件 中 定义 应 用 ， 然 后 通过 docker 
stack deploy 命令 完成 部 署 和 管理 。 束 是 这 样 ! 


Compose 文 件 中 包含 了 构成 应 用 所 需 的 完整 服务 栈 。 此 外 还 包括 
了 卷 、 网 络 、 安 全 以 及 应 用 所 需 的 其 他 基础 架构 。 


然后 基于 该 文件 使 用 docker stack deploy 命令 来 部 署 应 
用 ， 这 很 简单 。 


Stack 是 基于 Docker Swarm 之 上 来 完成 应 用 的 部 署 。 因 此 诸如 安全 
等 高 级 特性 ， 其 实 都 是 来 目 Swarm 。 


简 而 言 之 ，Docker 适 用 于 开发 和 测试 。Docker Stack 则 适用 于 大 规 
模 场 景 和 生产 环境 。 


14.2 ”使 用 Docker Stack 部 署 应 用 一 一 详解 


如 果 了 解 Docker Compose, WAR MDocker Stacki% A ° PK 
上 在 许多 方面 ，Stack 一 直 是 期 望 的 Compose 元 全 集成 到 Docker 
中 ， 并 能 够 管理 应 用 的 整个 生命 周期 。 


从 体系 结构 上 来 讲 ，Stack 位 于 Docker 应 用 层级 的 最 顶端 。Stack 基 
于 服务 进行 构建 ， 而 服务 又 基于 容器 ， 如 图 14.1 所 示 。 


— Som = 


栈 式 容器 分 组 和 管理 | 


i 滋 


图 14.1 AtSea 商 店 架 构图 
接 下 来 的 章节 分 为 如 下 几 部 分 。 


简单 应 用 。 

深入 分 析 Stack 文 件 。 
部 署 应 用 。 
管理 应 用 。 


14.2.1 简单 应 用 


本 章 后 续 的 内 容 会 一 直 使 用 示例 应 用 AtSea Shop ° 该 示例 托管 在 
Github 的 dockersamples/atsea-sample-shop-app 库 中 ， 基 于 
Apache 2.0 许 可 证 开源 ° 


使 用 该 应 用 是 因 为 其 复杂 度 适 中 ， 不 会 因为 太 复 杂 而 难以 完整 解 
释 。 除 此 之 外 ， 该 应 用 还 是 个 多 服务 应 用 ， 并 且 利 用 了 认证 和 安全 相 
天 的 技术 。 应 用 架构 如 图 14.2 所 示 。 


如 图 所 示 ， 该 应 用 由 5 个 服务 、 ， 4 个 密 钥 以 及 3 组 端口 映 
射 构成 。 具 体 细节 将 会 结合 Stack 文 件 进行 分 析 。 


在 本 章 中 用 


一 个 整体 进行 统 


到 服务 一 词 时 ， 指 的 是 Docker 服 务 (由 若干 容器 组 成 的 集合 ， 作 为 
管理 ， 并 且 在 Docker API 中 存在 对 应 的 服务 对 象 ) 。 


SMES, SMA, AMEA, SORA 


reverse_proxy database 


appserver vizualizer payment_gateway 
©= postgress_password ©= postgress_password ©= staging_token 


~€ 8001:8080 


©=revprox_cert 
©=revprox_key 
~€ 80:80 | 443:443 


©= postgress_password 


图 14.2 ”AtSea 商 店 架 构图 
复制 Github 仓 库 ， 以 获取 全 部 源 代 码 文件 。 


$ git clone https://github.com/dockersamples/atsea-sample-shop- 

app.git Cloning 

into 'atsea-sample-shop-app'... 

remote: Counting objects: 636, done. 

remote: Total 636 (delta 0), reused 0 (delta 0), pack-reused 636 
Receiving objects: 100% (636/636), 7.23 MiB | 28.25 MiB/s, done. 


Resolving deltas: 100% (197/197), done. 


该 应 用 的 代码 由 若干 日 录 和 源码 文件 组 成 。 读 者 可 以 随意 浏览 这 
些 文件 。 但 是 接 下 来 ， 重 点 关注 的 文件 是 docker -stack.ym1L。 该 
文件 通常 被 称 为 Stack 文 件 ， 在 该 文件 中 定义 了 应 用 及 其 依赖 。 


在 该 文件 整体 结构 中 ， 定 义 了 4 种 顶级 关键 子 。 


version: 
services: 
networks: 


secrets: 


version 代表 了 Compose 文 件 格式 的 版 本 号 。 为 了 应 用 于 Stack， 需 
要 3.0 或 者 更 高 的 版 本 。services 中 定义 了 组 成 当前 应 用 的 服务 都 有 哪 
些 。networks 列 出 了 必需 的 网 络 ，secrets 定义 了 应 用 用 到 的 密 钥 。 


如 果 展 开 顶 级 的 关键 字 ， 可 以 看 到 类 似 图 14.2 中 的 结构 。Stack 文 
件 由 5 个 服务 构成 ， 分 别 
Jj“reverse_proxy”“database”“appserver”“visualizer”“payment_gateway” 
。Stack 文 件 中 包含 3 个 网 络 ， 分 别 为 “front-tier”“back-tier”payment”。 
最 后 ，Stack 文 件 中 有 4 个 密 钥 ， 分 别 


Jj“postgres_password”“staging_token”“revprox_key”“revprox_cert” ° 


version: "3.2" 

services: 
reverse_proxy: 
database: 
appserver: 
visualizer: 
payment_gateway: 

networks: 
front-tier: 


back-tier: 


payment: 

secrets: 
postgres_password: 
staging_token: 
revprox_key: 
revprox_cert: 


Stack 文 件 定义 了 应 用 的 很 多 依赖 要 素 ， 理 解 这 一 点 很 重要 。 
此 ，Stack 文 件 是 应 用 的 一 个 目 描述 文件 ， 并 且 作 为 一 个 很 好 的 工具 弥 
合 了 开发 和 运 维 之 间 的 隔 闵 。 


接 下 来 一 起 深入 分 析 Stack 文 件 的 细 -。 


14.2.2 ”深入 分 析 Stack 文 件 


Stack 文 件 就 是 Docker Compose 文 件 。 唯 一 的 要 求 束 是 version: 
一 项 需要 是 “3.0” 或 痢 更 高 的 值 。 具 体 可 以 关注 Docker 文 档 中 天 于 
Compose 文 件 的 最 狐 版 本 信息 。 


在 Docker 根 据 某 个 Stack 文 件 部 署 应 用 的 时 候 ， 首 先 会 检查 并 创建 
networks: 关键 子 对 应 的 网 络 。 如 琳 对 应 网 络 不 存在 ，Docker 会 进 
行 创建 。 


一 起 看 一 下 Stack 文 件 中 的 网 络 定义 。 


1. 网 络 


networks: 
front-tier: 
back-tier: 
payment: 
driver: overlay 


driver_opts: 
encrypted: 'yes' 


该 文件 中 定义 了 3 个 网 络 : front-tier »back-tier 以 及 
payment 。 默 认 情 况 下 ， 这 些 网 络 都 会 采用 overlay 驱动 ， 新 建 对 
应 的 覆盖 类 型 的 网 络 。 但 是 payment 网 络 比较 特殊 ， 需 要 数据 层 加 


省 


驮 认 情 况 下 ， 上 履 兰 网 络 的 所 有 控制 层 都 是 加 密 的 。 如 采 需 要 加 密 
数据 层 ， 有 两 种 选择 。 


。 在 docker network create 命令 中 指定 -o encrypted & 
数 。 

。 在 Stack 文 件 中 的 driver_opts 之 下 指定 encrypted: 'yes' ° 
数据 层 加 密会 导致 额外 开销 ， 而 影响 额外 开销 大 小 的 因素 有 很 
多 ， 比 如 流量 的 类 型 和 流量 的 多 少 。 但 是 ， 通 常 额外 开销 会 在 10% 的 
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正如 前 面 提 到 的 ， 全 部 的 3 个 网 络 均 会 先 于 密 钥 和 服务 被 创建 。 


2. 密 钥 


密 钥 属 于 顶级 对 象 ， 在 当前 Stack 文 件 中 定义 了 4 个 。 


secrets: 
postgres_password: 
external: true 
staging_token: 
external: true 


revprox_key: 
external: true 


revprox_cert: 
external: true 


注意 ，4 个 密 钥 都 被 定义 为 external。 这 意味 着 在 Stack 部 署 之 前 ， 
这 些 密 钥 必须 存在 。 


当然 在 应 用 部 署 时 按 需 创建 密 钥 也 是 可 以 的 ， 只 需要 将 file: 
<filename> 替换 为 external: true 。 但 该 方式 生效 的 前 提 是 ， 
需要 在 主机 文件 系统 的 对 应 路 径 下 有 一 个 文本 文件 ， 其 中 包含 密 钥 所 
需 的 值 ， 并 且 是 未 加 密 的 。 这 种 方式 存在 明显 的 安全 隐患 。 


稍 后 会 展示 在 部 署 的 时 候 守 竟 是 如 何 创建 这 些 密 钥 的 。 现 在 ， 读 
只 需 知道 应 用 定义 了 4 个 密 钥 ， 并 且 需 要 提前 创建 即 可 。 


下 面 对 服务 逐一 进行 分 析 。 


3. 服务 


部 效 中 的 主要 操作 都 在 服务 这 个 环行 。 


每 个 服务 都 是 一 个 JSON 和 集合 (FH) ， 其 中 包含 了 一 系列 关键 
字 。 本 书 会 依次 介绍 每 个 关键 字 ， 并 解释 操作 的 具体 内 容 。 


(1) reverse_proxy 服 务 


正如 读者 所 见 ，reverse_proxy 服务 定义 了 镜像 、 端 口 、 密 钥 
以 及 网 络 。 


reverse_proxy: 
image: dockersamples/atseasampleshopapp_reverse_proxy 
ports: 
- "80:80" 
- "443:443" 
secrets: 
: revprox_cert 
: revprox_cert 


: revprox_key 
: revprox_key 


- front-tier 


image 天 键 字 是 服务 对 象 中 唯一 的 必 盾 项 。 顾 名 思 义 ， 该 关键 字 定 
义 了 将 要 用 于 构建 服务 副本 的 Docker 镜 像 。 


Docker 是 可 选项 ， 除 非 指定 其 他 值 ， 否 则 镜像 会 从 Docker Hub 拉 
取 。 读 者 可 以 通过 在 镜像 前 添加 对 应 第 三 方 镜像 仓库 服务 API 的 DNS 
名 称 的 方式 ， 来 指定 某 个 镜像 从 第 三 方 服务 拉 取 。 例 如 Google 的 容器 
服务 的 DNS 名 称 为 gcr .io ° 


Docker Stack 和 Docker Compose 的 一 个 区 别 是 ，Stack 不 支持 构建 
。 这 意味 着 在 部 署 Stack 之 前 ， 所 有 镜像 必须 提前 构建 完成 。 


ports 关 键 字 定义 了 两 个 映射 。 
。 80:80 将 Swarm 节 点 的 80 端 口 映 射 到 每 个 服务 副本 的 80 端 口 。 


。443:443 将 Swarm 节点 的 443 端 口 映 射 到 每 个 服务 副本 的 443 端 
O o 
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集群 中 每 个 节点 的 对 应 端口 都 会 映射 并 且 是 可 访问 的 ， 即 使 是 那些 没 
有 运行 副本 的 节点 。 另 一 种 方式 是 Host 模 式 ， 端 口上 只 映射 到 了 运行 副 
本 的 Swarm 节点 上 。 但 是 ，Host 模 式 需 要 使 用 完整 格式 的 配置 。 例 
如 ， 在 Host 模 式 下 将 端口 映射 到 80 端 口 的 语法 如 下 所 示 。 


ports: 
- target: 80 
published: 80 


mode: host 


推荐 使 用 完整 语法 格式 ， 这 样 可 以 提高 易 读 性 ， 并 且 更 灵活 〈 完 
整 语法 格式 支持 Ingress 模 式 和 Host 模 式 ) 。 人 但是， 完整 格式 要 求 
Compose 文 件 格 式 的 版 本 至 少 是 3.2。 


secret 关 键 字 中 定义 了 两 个 密 钥 : revprox_cert 以 及 
revprox_key。 这 两 个 密 钥 必须 在 顶级 关键 字 secrets 下 定义 ， 并 
且 必 须 在 系统 上 已 经 存在 ° 


密 钥 以 普通 文件 的 形式 被 挂 载 到 服务 副本 当中 。 文 件 的 名 称 残 是 
stack 文 件 中 定义 的 target 属性 的 值 ， 其 在 Linux 下 的 路 径 
为 /run/secrets ， 在 Windows 下 的 路 径 为 
C:\ProgramData\Docker\secrets ° Linux}#/run/secrets 作 


为 内 存 文件 系统 挂 载 ， 但 是 Windows 并 不 会 这 样 。 
本 服务 密 钥 中 定义 的 内 容 会 在 每 个 服务 副本 中 被 挂 载 ， 具 体 路 径 


为 /run/secrets/revprox_cert 
和 /run/secrets/revprox_key。 若 将 其 中 之 一 挂 载 
为 /run/secrets/uber_secret ， 需 要 在 stack 文 件 中 定义 如 下 内 


secrets: 
- source: revprox_cert 
target: uber_secret 


networks 天 键 字 确保 服务 所 有 副本 都 会 连接 到 front-tier 网 
络 。 网 络 相关 定义 必须 位 于 顶级 关键 字 networks 之 下 ， 如 果 定 义 的 网 


络 不 存在 ，Docker 会 以 Overlay 网 络 方式 新建 一 个 网 络 。 
(2) database 服 务 


数据 库 服 务 也 在 Stack 文 件 中 定义 了 ， 包 括 镜 像 、 网 络 以 及 密 钥 。 
除 上 述 内 容 之 外 ， 数 据 库 服 务 还 引入 了 环境 变量 和 部 署 约束 。 


database: 
image: dockersamples/atsea_db 
environment: 
POSTGRES_USER: gordonuser 
POSTGRES_DB_PASSWORD_FILE: /run/secrets/postgres_password 
POSTGRES_DB: atsea 
networks: 


- back-tier 


secrets: 
- postgres_password 
deploy: 
placement: 
constraints: 
- 'node.role == worker' 


environment 关 键 字 允许 在 服务 副本 中 注入 环境 变量 。 在 该 服务 
中 ， 使 用 了 3 个 环境 变量 来 定义 数据 库 用 户 、 数 据 库 密码 的 位 置 GER 
到 每 个 服务 副本 中 的 密 钥 ) 以 及 数据 库 服务 的 名 称 。 


environment: 
POSTGRES_USER: gordonuser 
POSTGRES_DB_PASSWORD_FILE: /run/secrets/postgres_password 
POSTGRES_DB: atsea 


将 三 者 作为 密 钥 传递 会 更 安全 ， 因 为 这 样 可 以 避免 将 数据 库 名 称 和 数据 库 用 户 
以 明文 变量 的 方式 记录 在 文人 当中 。 


该 服务 还 在 deploy 关 梁子 下 定义 了 部 震 纪 束 。 这 样 保 证 了 当前 服 
务 只 会 运行 在 Swarm 和 集群 的 worker 闻 点 之 上 。 


deploy: 
placement: 
constraints: 


node.role == worker' 
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的 方式 。 Swarm 目前 允许 通过 如 下 几 种 方式 进行 调度 。 


。 节 点 ID， 如 node ,id==o2p4kw2uuw2a ° 
。 节点 名 称 ， 如 node ,hostname==wrk-12 ° 
。 节点 角色 ， 如 node ,role!=manager 。 


° 万 点 引擎 标签 ， 如 
engine. labels.operatingsystem==ubuntu16.04 ° 
。 节 点 自 定义 标签 ， 如 node .1labels.zone==prod1 。 


注意 == 和 != 操 作 符 均 支 持 。 
(3) appserver 服 务 


appserver 服务 使 用 了 一 个 镜像 ， 连 接 到 3 个 网 络 ， 并 且 挂 载 了 
一 个 密 铀 。 此 外 appserver 服务 还 在 deploy 关键 字 下 引入 了 一 些 额 
外 的 特性 


appserver: 
image: dockersamples/atsea_app 
networks: 
- front-tier 
- back-tier 


- payment 
deploy: 
replicas: 2 
update_config: 
parallelism: 2 
failure_action: rollback 
placement: 
constraints: 
- 'node.role == worker' 
restart_policy: 
condition: on-failure 
delay: 5s 
max_attempts: 3 
window: 120s 


secrets: 
- postgres_password 


接 下 来 进一步 了 解 deploy 关键 字 中 新 增 的 内 容 。 


首先 ，services,appserver .deploy.replicas = 2 设置 
期 望 服务 的 副本 数量 为 2。 缺 省 情况 下 ， 默 认 值 为 1。 如 果 服 务 正 在 运 
行 ， 并 且 需 要 修改 副本 数 ， 则 读者 需要 显示 声明 该 值 。 这 意味 着 需要 
更 新 stack 文 件 中 的 services ,appserver .deploy.replicas , 
设置 一 个 新 值 ， 然 后 重新 部 署 当前 stack。 后 面 会 进行 具体 展示 ， 但 是 
重新 部 署 stack 并 不 会 影响 那些 没有 改动 的 服务 。 


services.appserver.deploy.update_config 定义 了 
Docker 在 服务 深 动 升级 的 时 候 有 具体 如 何 操 作 。 对 于 当前 服务 ，Docker 
每 次 会 更 新 两 个 副本 (parallelism) ,并且 在 升级 失败 后 自动 回 演 。 回 
深 会 基于 之 前 的 服务 定义 启动 新 的 副本 。failure_action 的 默认 
操作 是 pause ， 会 在 服务 升级 失败 后 阻止 其 他 副本 的 升级 。 


failure_action 还 支持 continue 。 


update_config: 
parallelism: 2 


failure_action: rollback 


services.appserver.deploy.restart-policy 定义 了 
Swarm 针对 容器 异常 退出 的 重启 策略 。 当 前 服务 的 重启 策略 是 ， 如 果 
某 个 副本 以 非 0 返回 值 退出 (condition: onfailure) ， 会 立即 
重 局 当前 副本 。 重 局 最 多 重 试 3 次 ， 每 次 都 会 等 得 至 多 120s 来 检测 是 否 
局 动 成 功 。 每 次 重 局 的 间隔 是 5s ° 


restart_policy: 
condition: on-failure 
delay: 5s 


max_attempts: 3 
window: 120s 


(4) visualizer 服 务 


visualizerIRA PEE T iR, RESO T vim BREIL > BGS BCE DL 
an 。 此 外 还 挂 载 了 一 个 指定 卷 ， 并 且 定 义 了 容积 的 优雅 停止 
了 


visualizer: 
image: dockersamples/visualizer:stable 
ports: 
- "8001:8080" 
stop_grace_period: 1m30s 
volumes: 
- "/var/run/docker.sock:/var/run/docker.sock" 


deploy: 
update_config: 
failure_action: rollback 
placement: 
constraints: 
- 'node.role == manager' 


当 Docker 人 停止 某 个 容 妖 的 时 候 ， 会 给 容 辟 内 部 PID 为 1 的 进程 发 送 
SIGTERM 信号 。 容 器 内 PID 为 1 的 进程 会 有 10s 的 优雅 停止 时 间 来 执行 
一 些 清 理 操 作 。 如 果 进 程 没 有 处 理 该 信号 ， 则 10s 后 就 会 被 SIGKILL 
信号 强制 结束 。stop_grace_period 属性 可 以 调整 默认 为 10s 的 优 
雅 停止 时 长 。 


volumes 关键 字 用 于 挂 载 提 前 创建 的 卷 或 者 主机 目录 到 某 个 服务 
副本 当中 。 在 本 例 中 ， 会 挂 载 Docker 主 机 
的 /varArun/docker .sock 目录 到 每 个 服务 副本 
的 /varArun/docker .sock 路 径 。 这 意味 着 在 服务 副本 中 任何 
对 /var/run/docker .sock 的 读 写 操作 都 会 实际 指向 Docker 主 机 的 
对 应 目录 中 。 


/var/run/docker .sock 恰巧 是 Docker 提 供 的 IPC 套 接 字 ， 
Docker daemon 通 过 该 套 接 字 对 其 他 进程 暴露 其 API 终 端 。 这 意味 着 如 
果 给 某 个 容 絮 访问 该 文件 的 权限 ， 束 是 允许 该 容器 接收 全 部 的 API 终 
端 ， 即 等 价 于 给 予 了 容 姻 查询 和 管理 Docker daemon 的 能 力 。 在 大 部 分 
场景 下 这 是 决 不 允许 的 。 但 是 ， 这 是 一 个 实验 室 环 境 中 的 示例 应 用 。 


该 服务 需要 Docker 套 接 字 访问 权限 的 原因 是 需要 以 图 形 化 方式 展 
示 当 前 Swarm 中 服务 。 为 了 实现 这 个 目标 ， 当 前 服务 需要 能 访问 管理 
节点 的 Docker daemon。 为 了 确保 能 访问 管理 和 点 Docker daemon, “4 


前 服务 通过 部 署 约束 的 方式 ， 强 制服 务 副 本 只 能 部 署 在 管理 节点 之 
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Docker=41 


{API} 
Docker 套 接 字 
(/var/run/docker.sock) 


图 14.3 绑 定 挂 载 


(5) payment_gateway 服 务 


payment_gateway 服务 中 指定 了 镜像 ， 挂 载 了 一 个 密 铀 ， 连 接 
到 网 络 ， 定 义 了 部 分 部 署 策略 ， 并 且 使 用 了 两 个 部 署 约束 。 


payment_gateway : 
image: dockersamples/atseasampleshopapp_payment_gateway 
secrets: 
- source: staging_token 
target: payment_token 
networks: 
- payment 


deploy: 
update_config: 
failure_action: rollback 
placement: 
constraints: 
- 'node.role == worker' 
- 'node.labels.pcidss == yes' 


除了 部 署 约束 node. label 之 外 ， 其 余 配置 项 在 前 面 都 已 经 出 现 
过 了 。 通 过 docker node update 命令 可 以 自 定义 节点 标签 ， 并 添 


加 到 Swarm 集群 的 指定 入 点。 因此，node .label 配置 只 适用 于 
Swarm 集群 中 指定 的 节点 上 (不 能 用 于 单独 的 容 右 或 者 不 属于 Swarm 
集群 的 容器 之 上 ) 。 


在 本 例 中 ，payment_gateway 服务 被 要 求 只 能 运行 在 符合 PCI 
DSS (支付 卡 行业 标准 ， 译 者 注 ) 标准 的 节点 之 上 。 为 了 使 其 生效 ， 
读者 可 以 将 某 个 目 定义 和 点 标签 应 用 到 Swarm 集群 中 符合 要 求 的 币 点 
之 上 。 本 书 在 搭建 应 用 部 署 实 难 环 境 的 时 候 完 成 了 该 操作 。 


因为 当前 服务 定义 了 两 个 部 署 约 束 ， 所 以 服务 副本 只 会 部 署 在 两 
个 约束 条 件 均 满足 的 节点 之 上 ， 即 具备 pcidss=yes 万 点 标签 的 
worker {J Ñ, ° 


天 于 Stack 文 件 的 分 析 到 这 里 瓯 结 束 了 ， 目 前 对 于 应 用 需求 应 该 有 
了 较 好 的 理解 。 前 文中 提 到 ，Stack 文 件 是 应 用 文档 化 的 重要 部 分 之 
一 。 读 者 已 经 了 解 该 应 用 包含 5 个 服务 、3 个 网 络 以 及 4 个 密 钥 。 此 外 读 
者 还 知道 了 每 个 服务 都 会 连接 到 哪个 网 络 、 有 哪些 端口 需要 发 布 、 应 
会 使 用 到 哪些 镜像 以 及 哪些 服务 需要 在 特定 的 节点 上 发 布 。 


下 面 开 始 部 署 。 
14.2.3 ”部 署 应 用 


在 部 效应 用 之 前 ， 有 几 个 前 置 处 理 需 要 完成 。 


。 Swarm 模式 : 应 用 将 采用 Docker Stack 部 署 ， 而 Stack 依 赖 Swarm 
模式 。 

。 标签 : 某 个 Swarm worker Ti irri se EE PN o 

0 BREA. 应 用 所 需 的 密 钥 需要 在 部 署 前 创建 完成 。 


1. 搭建 应 用 实验 环境 


在 本 节 中 会 完成 基于 Linux 的 三 节点 Swarm 集群 搭建 ， 同时 能 满足 
上 面 应 用 的 全 部 前 置 依赖 。 完 成 之 后 ， 实 验 环 境 如 图 14.4 所 示 。 


分 布 式 集群 存储 
| ao ©= revprox_cert ©= postgress_password @) 
| ©= revprox_key ©= staging_token | 

wrk-1 a $) 
< PCI oss | 


图 14.4 ”示例 环境 
接 下 来 内 容 分 为 3 个 步骤 。 
(1) 创建 新 的 Swarm ° 
(2) 添加 节点 标签 。 
(3) 创建 密 钥 。 
首先 创建 新 的 三 节点 Swarm 集群 。 
(1) 初始 化 Swarm ° 
在 读者 期 望 成 为 Swarm 管理 节点 的 机 器 上 ， 运 行 下 面 的 命令 。 


$ docker swarm init 
Swarm initialized: current node (lhma...w4nn) is now a manager. 


<Snip> 


(2) 添加 工作 节点 。 


粘贴 到 工作 节点 上 并 运行 。 


//Worker 1 (wrk-1) 

wrk-1$ docker swarm join --token SWMTKN-1-2h16...-...31qg 
172.31.40.192:2377 

This node joined a swarm as a worker. 


//Worker 2 (wrk-2) 


wrk-2$ docker swarm join --token SWMTKN-1-2h16...-...31qg 
172.31.40.192:2377 
This node joined a swarm as a worker. 


(3) 确认 当前 Swarm 由 一 个 管理 节点 和 两 个 工作 节点 构成 。 在 管 
理 世 点 中 运行 下 面 的 命令 。 


$ docker node ls 
HOSTNAME STATUS AVAILABILITY MANAGER STATUS 
mgr-1 Ready Active Leader 


wrk-1 Ready Active 
wrk-2 Ready Active 


Swarm 集 群 日 前 就 绪 。 


payment_gateway 服务 配置 了 部 署 约束 ， 限 制 该 服务 只 能 运行 
在 有 pcidss=yes 标签 的 工作 节点 之 上 。 本 步 又 中 将 在 wrk-1 上 添加 
该 节点 标签 


在 现实 世界 中 ， 添 加 该 标 S S 
进行 标准 化 。 但 是 ， 这 只 是 一 个 实验 环境 ， 所 以 就 暂且 跳 过 
程 ， 直 接 将 标签 添加 到 wrk-1 世 点 。 

在 Swarm 管理 节点 运行 下 面 的 命令 。 


(1) 添加 节点 标签 到 wrk-1 ° 


$ docker node update --label-add pcidss=yes wrk-1 


Node 标 签 只 在 Swarm 集 群 之 内 生效 。 
(2) 确认 节点 标签 


$ docker node inspect wrk-1 


[ 


"ID": "b74rzajmrimfv7hood6141gz3", 
"Version": { 
"Index": 27 


Ii 
"CreatedAt": "2018-01-25T10:35:18.1468316212", 
"UpdatedAt": "2018-01-25T10:47:57.1890212022", 
"Spec": { 
"Labels": { 
"ocidss": "yes" 


wrk-1 工作 节点 现在 已 经 配置 完成 ， 所 以 该 节点 可 以 运行 
payment_gateway 服务 副本 了 。 


应 用 定义 了 4 个 密 钥 ,这些 都 需要 在 应 用 部 著 前 创建 。 


e postgress_password ° 
e staging_token ° 

e revprox_cert ° 

e revprox_key 。 


在 管理 节点 运行 下 面 的 命令 ， 来 创建 这 些 密 钥 。 
(1) 创建 新 的 键 值 对 。 


密 铀 中 有 3 个 是 需要 加 密 key 的 。 在 本 步骤 中 会 创建 加 密 key， 下 一 
步 会 将 加 密 key 放 到 Docker 密 钥 文件 当中 。 


$ openssl req -newkey rsa:4096 -nodes -sha256 \ 


-keyout domain.key -x509 -days 365 -out domain.crt 


(2) 创建 revprox_cert ` revprox_key 以 及 
postgress_password 密 钥 。 


$ docker secret create revprox_cert domain.crt 
cqblzfpyv5cxb5wbvtrbpvrrj 


$ docker secret create revprox_key domain.key 
jqdiramk2x7g0s2e9ynhdyl4p 


$ docker secret create postgres_password domain.key 


njpdklhjcg8noy64aileyod61 


(3) 创建 stage_token 密 钥 。 


$ echo staging | docker secret create staging token - 
sqy21qep9w17h04k360006qsj 


(4) 列 出 所 有 密 钥 。 


$ docker secret 1s 

ID NAME CREATED UPDATED 
njp...d6l postgres_password 47 seconds ago 47 seconds ago 
cqb...rrj revprox_cert About a minute About a minute 
ago 

jqd...14p revprox_key About a minute About a minute 
ago 

sqy...qsj staging_token 23 seconds ago 23 seconds ago 


上 面 已 经 完成 了 全 部 的 前 置 准备 。 是 时 候 开 始 部 畴 应 用 了 ! 
2. 部 署 示 例 应 用 


如 果 还 没有 代码 ， 请 先 复 制 应 用 的 GitHub 仓 库 到 Swarm 管 理 廊 


QO 
INN 


$ git clone https://github.com/dockersamples/atsea-sample-shop- 
app.git 

Cloning into 'atsea-sample-shop-app'... 

remote: Counting objects: 636, done. 

Receiving objects: 100% (636/636), 7.23 MiB | 3.30 MiB/s, done. 
remote: 

Total 636 (delta 0), reused © (delta 0), pack-reused 636 Resolving 
deltas: 100% (197/197), done. 

Checking connectivity... done. 


$ cd atsea-sample-shop-app 


现在 已 经 拥有 了 源码 ， 可 以 开始 部 署 应 用 了 ° 


Stack 通 过 docker stack deploy 命令 完成 部 署 。 基 础 格式 
下 ， 该 命令 允许 传 入 两 个 参数 。 


。 Stack 文 件 的 名 称 。 
。 Stack 的 名 称 。 


应 用 的 GitHub 仓 库 中 包含 一 个 名 为 docker-stack.yml 的 Stack 文 件 。 
这 里 会 使 用 该 文件 。 本 书 中 为 Stack 起 名 seastack， 如 果 读 者 不 喜欢 ， 
也 可 以 选择 其 他 名 称 。 


在 Swarm 管 理 节 点 的 atsea-sample-shop-app 目录 下 运行 下 
面 的 命令 。 


部 署 Stack (MH) 。 


$ docker stack deploy -c docker-stack.yml seastack 
Creating network seastack_default 

Creating network seastack_back-tier 

Creating network seastack_front-tier 

Creating network seastack_payment 

Creating service seastack_database 


Creating service seastack_appserver 
Creating service seastack_visualizer 
Creating service seastack_payment_gateway 
Creating service seastack_reverse_proxy 


读者 可 以 运行 docker network 1s 以 及 docker service 
ls 命令 来 查看 应 用 的 网 络 和 服务 情况 。 


下 面 是 命令 输出 中 几 个 需要 注意 的 地 方 。 


网 络 是 先 于 服务 创建 的 。 这 二 因为 服务 依赖 于 网 络 ， 所 以 网 络 需 
要 在 服务 局 动 前 创建 。 


Docker 将 Stack 名 称 附加 到 由 他 创建 的 任何 资源 名 称 前 作为 前 级 。 
在 本 例 中 ，Stack 名 为 seastack ， 所 以 所 有 资源 名 称 的 格式 都 如 : 
seastack_<resource>。 例 如 ，payment 网 络 的 名 称 是 
seastack_payment 。 而 在 部 署 之 前 创建 的 资源 则 没有 被 重 命名 ， 
比如 密 钥 。 


另 一 个 需要 注意 的 点 是 出 现 了 新 的 名 为 seastack_default 的 
网 络 。 该 网 络 并 未 在 Stack 文 件 中 定义 ， 那 为 什么 会 创建 呢 ? 每 个 服务 
都 需要 连接 到 网 络 ， 但 是 visualizer 服务 并 没有 指定 具体 的 网 络 。 
因此 ，Docker 创 建 了 名 为 seastack_default 的 网 络 ， 并 将 
visualizer 连接 到 该 网 络 。 


读者 可 以 通过 两 个 命令 来 确认 当前 Stack 的 状态 。docker stack 
ls 列 出 了 系统 中 全 部 Stack， 包 括 每 个 Stack 下 面包 含 多 少 服 务 。 
docker stack ps <stack-name> 针对 某 个 指定 Stack 展 示 了 更 详 
细 的 信息 ， 例如 期 望 状态 以 及 当前 状态 。 下 面 一 起 来 了 解 下 这 两 条 命 


今 


$ docker stack ls 
NAME SERVICES 
Seastack 5 


$ docker stack ps seastack 

NAME DESIRED STATE CURRENT 
seastack_reverse_proxy.1 - Running Running 
minutes ago 

seastack_payment_gateway.1 - Running Running 
minutes ago 


seastack_visualizer.1 - Running Running 
minutes ago 
seastack_appserver.1 - Running Running 
minutes ago 
seastack_database.1 Running Running 
minutes ago 
seastack_appserver .2 - Running Running 
minutes ago 


在 服务 启动 失败 时 ，docker stack ps 命令 是 首选 的 问题 定位 
AA o 该 命令 展示 了 Stack 中 每 个 服务 的 概况 ， 包 括 服务 副本 所 在 节 
点 、 当 前 状态 、 期 望 状态 以 及 异常 信息 。 从 下 面 的 输出 信息 中 能 看 出 
reverse_proxy 服务 在 wrk-2 节点 上 两 次 尝试 启动 副本 失败 。 


$ docker stack ps seastack 


NAME NODE DESIRED CURRENT ERROR 
STATE STATE 
reverse_proxy.1 wrk-2 Shutdown Failed "task: non-zero 


exit (1)" 
\_reverse proxy.1 wrk-2 Shutdown Failed "task: non-zero 


exit (1)" 


如 果 想 查看 具体 某 个 服务 的 详细 信息 ， 可 以 使 用 docker 
service logs 命令 。 读 者 需要 将 服务 名 称 /ID 或 者 副本 ID 作 为 参数 
传 入 。 如 果 传 入 服务 名 称 或 ID， 读 者 可 以 看 到 所 有 服务 副本 的 日 志 信 
息 。 如 果 传 入 的 是 副本 ID， 读 者 只 会 看 到 对 应 副本 的 日 志 信 息 。 


下 面 的 docker service 1ogs 命令 展示 了 
seastack_reverse_proxy 服务 的 全 部 副本 日 志 ， 其 中 包含 了 前 面 
输出 中 的 两 次 副本 启动 失败 的 日 志 。 


$ docker service logs seastack_reverse_proxy 
seastack_reverse_proxy.1.zhc3cjeti9d4@wrk-2 | [emerg] 1#1 


: host not found 


seastack_reverse_proxy.1.6minmbzmwh2d@wrk-2 [emerg] 1#1 


: host not found 


seastack_reverse_proxy.1.6minmbzmwh2d@wrk-2 nginx: [emerg] host 
not found.. 

seastack_reverse_proxy.1.zhc3cjeti9d4@wrk-2 nginx: [emerg] host 
not found.. 

seastack_reverse_proxy.1.1itmya243m5um@mgr -1 10.255.0.2 "GET / 
HTTP/1.1" 302 


输出 内 容 为 了 适应 页 面 展示 ， 已 经 经 过 裁剪 ， 但 是 读者 还 是 可 以 
看 到 全 部 3 个 服务 副本 的 日 志 (两 个 局 动 失败 ，1 个 正在 运行 。 每 行 
的 开始 都 是 副本 的 名 称 ， 包 括 服 务 名 称 、 副 本 序号 、 副 本 ID 以 及 副本 
所 在 主机 的 名 称 。 接 下 来 是 具体 的 日 志和 输出。 


读者 可 能 已 日 志 中 全 部 副本 的 序号 都 是 1。 这 是 因为 Docker 每 次 上 


创建 一 个 副本 ， 并 且 只 有 当前 面 的 副本 启动 失败 时 才 会 创建 新 的 。 


/ 
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次 副本 局 动 失 败 原 因 是 其 依赖 的 某 个 服务 仍然 在 启动 中 (一 种 局 动 时 
服务 间 依 赖 导致 的 竞争 条 件 ) 


读者 可 以 继续 跟踪 日 志 (--follow) ， 查 看 日 志 尾 部 内 容 (-- 
tail) ， 或 者 获取 额外 的 详细 信息 (- -details ) 


现在 Stack 已 经 启动 并 且 处 于 运行 中 ， 看 一 下 如 何 管理 stack。 


14.2.4 “管理 应 用 


Stack 是 一 组 相关 联 的 服务 和 基础 设施 ， 需 要 进行 统一 的 部 署 和 管 
理 。 虽 然 这 句 话 里 充斥 着 术语 ， 但 仍 提醒 我 们 Stack 是 由 普通 的 Docker 
资源 构建 而 来 : 网络、 卷 、 密 钥 、 服 务 等 。 这 意味 着 可 以 通过 普通 的 
Docker 命 令 对 其 进行 查看 和 重新 配置 ， 例 如 docker network ` 
docker volume 、docker secret `docker service 等 。 


在 此 前 提 之 下 ， 通 过 docker service 命令 来 管理 Stack 中 某 个 
服务 是 可 行 的 。 一 个 简单 的 例子 是 通过 docker service scale 命 


令 来 扩充 appserver 服务 的 副本 数 。 但 是 ， 这 并 不 是 推荐 的 方式 ! 


推荐 方式 是 通过 声明 式 方 式 修改 ， 即 将 Stack 文 件 作 为 配置 的 唯一 
声明 。 这 样 ， 所 有 Stack 相 关 的 改动 都 需要 体现 在 Stack 文 件 中 ， 然 后 更 
新 重 狐 部 车 应 用 所 需 的 Stack 文 件 。 


下 面 是 一 个 简单 例子 ， 阐 述 了 为 什么 通过 命令 修改 的 方式 不 好 
(通过 CLI 进 行 变 更 ) 。 


假设 读者 已 经 部 署 了 一 个 Stack， 采 用 的 Stack 文 件 是 前 面 章 
节 中 从 GitHub 复 制 的 仓库 中 的 docker -stack .yml 。 这 意味 
着 目前 appserver 服 务 有 两 个 副本 。 如 果 通 过 docker service 


scale 命令 将 副本 修改 为 4 个 ， 当 前 运行 的 集群 会 有 4 个 副本 ， 
但 是 Stack 文 件 中 仍然 是 两 个 。 得 承认 目前 看 起 来 还 不 是 特别 粳 
BE (Ee, BRE MiB WER Stack CPP Stack tit TEER 


动 ， 然 后 通过 docker stack deploy 命令 进行 滚动 部 署 。 

这 会 导致 appserver 服务 副本 数 被 回 深 到 两 个 ， 因 为 Stack 文 
件 就 是 这 么 定义 的 。 因 此 ， 推 荐 对 Stack 所 有 的 变更 都 通过 修改 
ee 并 且 将 该 文件 放 到 一 个 合适 的 版 本 控制 系统 


Stack 进 行 两 个 声明 式 修 改 的 过 程 。 目 标 是 进行 如 下 
改动 。 


。 增 加 appserver 副本 数 ， 数 量 为 2~10。 
。 将 visualizer 服务 的 优雅 停止 时 间 增 加 到 2min 。 


修改 docker-stack.yml 文 件 ， 更 新 两 个 值 : 
services.appserver.deploy.replicas=10 和 
services.visualizer.stop_grace_period=2m ° 


目前 ，Stack 文 件 中 的 内 容 如 下 。 


<Snip> 
appserver: 
image: dockersamples/atsea_app 
networks: 
- front-tier 
- back-tier 
- payment 
deploy: 
replicas: 10 <<Updated value 


<Snip> 
visualizer: 
image: dockersamples/visualizer:stable 
ports: 
- "8001:8080" 
stop_grace_period: 2m <<Updated value 
<Snip 
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$ docker stack deploy -c docker-stack.yml seastack 
Updating service seastack_reverse_proxy (id: 


z4crmmrz7zZ18300721heohsku ) 

Updating service seastack_database (id: 3vvpkgunetxaatbvyqxfici115) 
Updating service seastack_appserver (id: 
1jht639w33dhvOdmhtigé6mueh ) 

Updating service seastack_visualizer (id: 
rbwoyuciglreOihsm5fviabjf ) 

Updating service seastack_payment_gateway (id: 
w4gsdxfnb5gofwtvmdiooqgvxs ) 


以 上 重新 部 署 应 用 的 方式 ， 只 会 更 新 存在 变更 的 部 分 。 


运行 docker stack ps 命令 来 确认 appserver 副本 数量 确实 
增加 。 


$ docker stack ps seastack 

NAME NODE DESIRED STATE CURRENT STATE 
seastack_visualizer.1 mgr-1 Running Running 1 second ago 
seastack_visualizer.1 mgr-1 Shutdown Shutdown 3 seconds ago 
seastack_appserver. wrk-2 Running Running 24 minutes ago 
seastack_appserver. wrk-1 Running Running 24 minutes ago 
seastack_appserver. wrk-2 Running Running 1 second ago 
seastack_appserver. wrk-1 Running Running 1 second ago 


seastack_appserver. 
seastack_appserver. 
seastack_appserver. 
seastack_appserver. 
seastack_appserver. 


wrk-1 Running Starting 7 seconds ago 
wrk-2 Running Running 1 second ago 
wrk-1 Running Starting 7 seconds ago 
wrk-2 Running Running 1 second ago 
wrk-1 Running Starting 7 seconds ago 


1 
2 
3 
4 
seastack_appserver.5 wrk-2 Running Running 1 second ago 
6 
7 
8 
9 
1 
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的 服务 。 


注意 关于 visualizer 服务 有 两 行内 容 。 其 中 一 行 表示 某 个 副本 
在 3s 前 停 上 上， 另 一 行 表示 新 副本 已 经 运行 了 1s。 这 是 因为 刚才 对 
visualizer 服务 作 了 修改 ， 所 以 Swarm 集群 终止 了 正在 运行 的 副 
并 且 启 动 了 新 的 副本 ， 新 副本 中 更 新 了 stop_grace_period 的 
值 。 


还 需要 注意 的 是 ，appserver 服务 目前 拥有 10 个 副本 ， 但 不 同 
副本 的 “CURRENT STATE” 一 列 状态 并 不 相同 : 有 些 处 于 running 状 
态 ， 而 有 些 仍 在 starting 状 态 


经 过 足够 的 时 间 ， 集 群 的 状态 会 完成 收敛 ， 期 望 状态 和 当前 状态 
BLE REE — BL o 在 那 时 ， 集 群 中 实际 部 署 和 观察 到 的 状态 ， 束 会 跟 
Stack 文 件 中 定义 的 内 容 完全 一 致 。 这 真是 让 人 开心 的 事情 。 


所 有 应 用 /Stack 都 应 采用 该 方式 进行 更 新 。 所 有 的 变更 都 应 该 通过 
Stack 文 件 进行 声明 ， 然 后 通过 docker stack deploy 进行 部 署 


正确 的 删除 某 个 Stack 方 式 是 通过 docker stack rm 命令 。 一 定 
要 谨慎 ! 删除 Stack 不 会 进行 二 次 确认 。 


stack rm seastack 

service seastack_appserver 
service seastack_database 
service seastack_payment_gateway 
service seastack_reverse_proxy 
service seastack_visualizer 


network seastack_front-tier 

network seastack_payment 

network seastack_default 
Removing network seastack_back-tier 


注意 ， 网 络 和 服务 已 经 删除 ， 但 是 密 钥 并 没有 。 这 是 因为 密 钥 是 
在 Stack 部 署 前 就 创建 并 存在 了 。 在 Stack 最 上 层 结构 中 定义 的 卷 同样 不 
会 被 docker stack rm 命令 删除 。 这 是 因为 卷 的 设计 初衷 是 保存 持 
久 化 数据 ， 其 生命 周期 独立 于 容器 、 服 务 以 及 Stack 之 外 。 


RE! 读者 现在 学 会 了 如 何 通过 Docker Stack 部 署 和 管理 一 个 多 服 
务 应 用 。 


14.3 ”使 用 Docker Stack 部 署 应 用 一 一 命令 


。docker stsack deploy 用 于 根据 Stack 文 件 (通常 是 
docker-stack.yml ) 部 署 和 更 新 Stack 服 务 的 命令 。 

e docker stack ls 会 列 出 Swarm 集群 中 的 全 部 Stack， 包 括 每 个 
Stack 拥 有 多 少 服务 。 

e docker stack ps 列 出 某 个 已 经 部 署 的 Stack 相 关 详 情 。 该 命令 
文 持 Stack 名 称 作为 其 主要 参数 ， 列 举 了 服务 副本 在 和 点 的 分 布 情 


况 ， 以 及 期 望 状态 和 当前 状态 。 
e docker stack rm 命令 用 于 从 Swarm 集群 中 移 除 Stack。 移 除 操 
作 执 行 前 并 不 会 进行 二 次 确认 。 


14.4 ”本 章 小 结 


Stack 是 Docker 原 生 的 部 署 和 管理 多 服务 应 用 的 解决 方案 。Stack 默 
认 集 成 在 Docker 引 警 中 ， 并 且 捉 供 了 人 窗 单 的 声明 式 接 口 对 应 用 进行 部 
署 和 全 生命 周期 管理 。 


在 本 章 开 始 提供 了 应 用 代码 以 及 一 些 基础 设施 需求 ， 比 如 网 络 、 
端口 、 着 和 密 钥 。 接 下 来 的 内 容 完 成 了 应 用 的 容器 化 ， 并 且 将 全 部 应 
用 服务 和 基础 设施 需求 集成 到 一 个 声明 式 的 Stack 文 件 当 中 。 在 Stack 文 
件 中 设置 了 服务 副本 数 、 滚 动 升级 以 及 重启 策略 。 然 后 通过 docker 
stack deploy 命令 基于 Stack 文 件 完成 了 应 用 的 部 署 。 


对 于 已 部 奢 应 用 的 更 新 操作 ， 应 当 通 过 修改 Stack 文 件 完成 。 首 移 
需要 从 源码 管理 系统 中 检 出 Stack 文 件 ， 更 新 该 文件 ， 然 后 重新 部 获 应 
用 ， 最 后 将 改动 后 的 Stack 文 件 重新 提交 到 源码 控制 系统 中 。 


因为 Stack 文 件 中 定义 了 像 服务 副本 数 这 样 的 内 容 ， 所 以 读者 需要 
目 己 维护 多 个 Stack 文 件 以 用 于 不 同 的 环境 ， 比 如 dev、test 以 及 prod。 


第 15 章 ”Docker 安 全 


好 的 安全 性 是 基于 分 层 隅 离 的 ， 而 Docker 恰 好 有 很 多 分 层 。 
Docker 文 持 所 有 主流 Linux 安 全 机 制 ， 同 时 Docker 目 吴 还 提供 了 很 多 人 徐 
单 的 并 且 易 于 配置 的 安全 技术 。 

本 章 主 要 介绍 Docker 中 保障 容器 安全 运行 的 一 些 技术 。 

在 本 章 的 深入 探索 中 ， 内 容 划分 为 以 下 两 部 分 。 


。 Linux 安 全 技术 。 
© Docker 平 台 安全 技术 。 


本 章 大 部 分 章节 内 容 仅 适 用 于 Linux。 但 是 ，Docker 平 台 安 全 技术 
部 分 是 路 平台 的 ， 可 以 应 用 于 Linux 以 及 Windows。 


15.1 Docker 安 全 一 一 简介 


REAP EAE! 通俗 地 讲 ， 拥 有 更 多 的 安全 层 ， 忠 能 拥有 更 
多 的 安全 性 。 而 Docker 提 供 了 很 多 安全 层 。 图 15.1 展 示 了 本 章 接 下 来 
会 介绍 的 一 部 分 安全 技术 。 


sae 
强制 访问 控制 (MAC ) 
操作 系统 
(Linux ) 技术 系统 权限 
内 核 命 名 空间 


图 15.1 Docker 安全 技术 


Linux Docker 利 用 了 大 部 分 Linux 通 用 的 安全 技术 。 这 些 技术 包括 
了 命名 空间 (Namespace) 、 控 制 组 (CGroup) 、 系 统 权 限 
(Capability) ， 强 制 访问 控制 (MAC) 系统 以 及 安全 计算 
(Seccomp) 。 对 于 上 述 每 种 技术 ，Docker 都 设置 合理 的 默认 值 ， 实 
现 了 流畅 的 并 且 适 度 安全 的 开 箱 即 用 体验 。 同 时 ，Docker 也 人 允许 用 户 
根据 特定 需求 目 定 义 调整 每 项 安全 配置 。 


Docker 平 台 本 身 也 提供 了 一 些 非 常 棒 的 原生 安全 技术 。 并 且 重 要 
的 是 ， 这 些 技术 使 用 起 来 都 很 简单 ! 


。 Docker Swarm 模式 : 默认 是 开启 安全 功能 的 。 无 须 任 何 配置 ， 

束 可 以 获得 加 密 节 点 ID、 双 加 认证 、 目 动 化 CA 配置 、 目 动 证 书 更 
狐 、 加 密集 群 存储 、 加 密 网 络 等 安全 功能 。 

Docker 内 容 信 任 (Docker Content Trust, DCT) : 人 允许 用 户 对 镜 
像 签名 ， 并 且 对 拉 取 的 镜像 的 完整 度 和 发 布 者 进行 验证 。 
Docker 安 全 扫描 (Docker Security Scanning) : 分 析 Docker 镜 
像 ， 检 查 已 知 缺 陷 ， 并 提供 对 应 的 详细 报告 。 

Docker 密 钥 : 使 安全 成 为 Docker 生 态 系 统 中 重要 的 一 环 。Docker 
密 钥 存储 在 加 密集 群 存储 中 ， 在 容 絮 传输 过 程 中 实时 解密 ， 使 用 
时 保存 在 内 存 文件 系统 ， 并 运行 了 一 个 最 小 权限 模型 。 


重要 的 是 ， 要 知道 Docker 在 使 用 主流 Linux 安 全 技术 的 同时 ， 还 提 


供 了 额外 的 扩展 以 及 一 些 新 的 安全 技术 。Linux 安 全 技术 看 起 来 可 能 略 
为 复杂 ， 但 是 Docker 平 台 的 安全 技术 却 非常 简单 。 


15.2 ”Docker 安 全 一 一 详解 


大 家 都 知道 安全 是 非常 重要 的 。 同 时 ， 安 全 又 很 复杂 并 且 杜 煤 无 


味 


在 最 初 决定 疝 平 台中 添加 安全 功能 时 ， 就 迹 择 了 人 简单 易 用 的 方 
式 。Docker 知 道 如 末 安 全 相关 配置 特别 复杂 ， 那 么 就 没有 人 会 去 使 
用 。 上 所以，Docker 平 台 提 供 的 绝 大 部 分 安全 功能 使 用 起 来 都 很 简单 。 
并 且 大 部 分 的 安全 设置 都 配 有 默认 值 ， 意 味 着 用 户 无 须 任何 配置 ， 束 
能 得 到 一 个 相当 安全 的 平台 。 当 然 ， 殉 认 配置 不 一 定 是 最 合适 的 ， 但 


至 少 在 最 开始 能 够 保障 一 定 的 安全 性 。 如 果 默 认 配 置 与 用 户 需 求 不 
符 ， 那 么 用 户 也 可 以 进行 目 定 义 配置 。 


接 下 来 的 内 容 按照 如 下 结构 进行 介绍 。 


。 Linux 安 全 技术 。 

o Namespace ° 

o Control Group ° 

o Capability ° 

o MAC ° 

o Seccomp ° 
。 Docker 平 台 安 全 技术 。 
Swarm 模式 。 
Docker 安 全 扫 摘 。 
Docker 内 容 信任 机 制 。 
Docker 密 钥 。 


15.2.1 Linux 安 全 技术 


每 个 优秀 的 容 絮 平台 都 应 该 使 用 命名 空间 和 控制 组 技术 来 构建 容 
器 。 最 佳 的 容器 平台 还 会 集成 其 他 容器 安全 技术 ， 例 如 系统 权限 、 强 
制 访问 控制 系统 (如 SELinux 和 AppArmor) 以 及 安全 计算 。 正 如 用 户 
所 期 望 的 ，Docker 中 集成 了 上 述 全 部 安全 技术 ! 


在 本 市 中 会 对 Docker 中 用 到 的 主要 Linux 技 术 进 行 和 洽 要 介绍 。 之 所 
ee ， 是 因为 在 本 书 中 希望 将 重点 放 在 Docker 平 台 技 术 


1. Namespace 


内 核 命 名 空间 属于 容 右 中 非常 核心 的 一 部 分 ! 该 技术 能 够 将 操作 
系统 (OS) 进行 拆 分 ， 使 一 个 操作 系统 看 起 来 像 多 个 互相 独立 的 操作 
系统 一 样 。 这 种 技术 可 以 用 来 做 一 些 非常 酷 的 事情 ， 比 如 在 相同 的 OS 
上 运行 多 个 Web 服 务 ， 同 时 还 不 存在 端口 冲突 的 问题 。 该 技术 还 允许 


Ge ee ce TE ere 
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举 两 个 商 单 的 例子 。 


用 户 可 以 在 相同 的 0S 上 运行 多 个 web 服务， 每 个 端口 都 是 443。 
为 了 实现 该 目的 ， 可 以 将 两 个 Web 服 务 应 用 分 别 运行 在 自己 的 网 
络 命名 空间 中 。 这 样 可 以 生效 的 原因 是 每 个 网 络 命名 空间 都 拥有 
目 己 的 IP 地 址 以 及 对 应 的 全 部 端口 。 也 可 能 需要 将 每 个 IP 映 射 到 
Docker 主 机 的 不 同 端口 之 上 ， 但 是 使 用 了 上 的 哪个 端口 则 无 须 其 
他 和 额外 配置 。 

用 户 还 可 以 运行 多 个 应 用 ， 应 用 间 共 至 类 库 和 配置 文件 ， 但 是 版 
本 可 能 不 同 。 为 了 实现 该 目标 ， 需 要 在 目 己 的 挂 载 命 名 空间 中 运 
用 每 个 应 用 程序 。 这 样 做 能 生效 的 原因 ， 是 每 个 挂 载 命名 空间 内 
都 有 系统 上 任意 目录 的 独立 副本 。 


图 15.2 展 示 了 一 个 抽象 的 例子 ， 两 个 应 用 运行 在 相同 的 主机 上 ， 
人 
间 之 内 。 


Linux Docker 现 在 利用 了 下 列 内 核 命名 空间 。 


进程 ID (PID) 。 

网 络 (NET) 。 

文件 系统 / 挂 载 (MNT) ° 
进程 内 通信 (IPC) 。 
用 户 (USER) 。 

UTS 。 


下 面 会 简要 介绍 每 种 技术 都 做 了 些 什 么 。 但 重要 的 是 要 理解 ， 
Docker 容 器 是 由 各 种 命名 空间 组 合 而 成 的 。 再 次 强调 一 人 帝 ，Docker 容 
器 本 质 就 是 命名 空间 的 有 组 织 集合 。 


网 络 命名 空间 


网 络 命名 空间 
IP: 10.0.0.10 
Ports :0-65,536 


A App2 
端口 : 443 


Linux 主 机 


IP: 10.0.0.8 
Ports: 6-65,536 


图 15.2 ”两 个 应 用 运行 在 相同 主机 并 同时 使 用 443 端 口 


例如 ， 每 个 容器 都 由 自己 的 PID、NET、MNT、IPC、UTS 构 成 ， 
还 可 能 包括 USER 命 名 空间 。 这 些 命名 空间 有 机 的 组 合 就 是 所 谓 的 容 
器 。 风 15.3 展 示 了 两 个 运行 在 相同 Linux 主 机 上 的 容 需 。 


根 命名 空间 : 
PID, NET, MNT, IPC, USER, UTS 


图 15.3 ”两 个 容器 运行 在 相同 的 Linux 主 机 上 


接 下 来 简要 介绍 一 下 Docker 是 如 何 使 用 每 个 命名 空间 的 。 


。 进程 ID 命 名 空间 : Docker 使 用 PID 命名 空间 为 每 个 容器 提供 互相 
独立 的 容 妮 树 。 每 个 容 絮 都 拥有 自己 的 进程 树 ， 意 味 着 每 个 容器 
都 有 自己 的 PID 为 1 的 进程 。PID 命 名 空间 也 意味 着 容器 不 能 看 到 
其 他 容器 的 进程 树 ， 或 者 其 所 在 主机 的 进程 树 。 

。 网 络 命名 空间 : Docker 使 用 NET 命名 空间 为 每 个 容器 提供 互相 隔 
离 的 网 络 栈 。 网 络 栈 中 包括 接口 、ID 地 址 、 端 口 地 址 以 及 路 由 
表 。 例 如 ， 每 个 容器 都 有 自己 的 eth0 网 络 接口 ， 并 且 有 自己 独立 
的 了 P 和 端口 地 址 。 


。 ERAMATE: 每 个 容器 都 有 互相 隔离 的 根 目 录 /。 这 意味 着 
每 个 容器 都 有 自己 的 /etc、/var 、/dev 等 目录 。 容 器 内 的 进 
程 不 能 访问 Linux 主 机 上 的 目录 ， 或 者 其 他 容器 的 目录 ， 只 能 访问 
自己 容器 的 独立 挂 载 命 名 空间 。 

进程 内 通信 命名 空间 : Docker 使 用 IPC 命名 空间 在 容器 内 提供 共 
ZNE ° IPC 提供 的 共享 内 存在 不 同 容 器 间 也 是 互相 独立 的 。 
用 户 命 名 空间 : Docker 人 允许 用 户 使 用 USER 命名 空间 将 容器 内 用 
户 上 映射 到 Linux 主 机 不 同 的 用 户 上 。 常 见 的 例子 就 是 将 容器 内 的 
root 用 户 映 射 到 Linux 主 机 的 非 root 用 户 上 。 用 户 命 名 空间 对 于 
Docker 来 说 还 属于 新 生 事物 且 非 必 选 项 。 该 部 分 内 容 在 未 来 可 能 
出 现 改变 。 

UTS 命 名 空间 : Docker 使 用 UTS 命名 空间 为 每 个 容器 提供 自己 的 
主机 名 称 。 


如 图 15.4 所 示 ， 容 名 本 质 就 是 命名 空间 的 有 机 组 合 ! 


你 好 ， 我 是 容器 。 如 果 将 我 分 解 ， 你 会 发 现 我 
是 由 命名 空间 构成 的 。 我 有 自己 的 PID、 网 络 、 


挂 载 点 、IPC、UTS ， 有 时 甚至 有 自己 的 用 户 
空间 ! 


图 15.4 ”容器 是 命名 空间 的 有 机 名 


if 
up 


2. Control Group 
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(Beis a Tt ETE PAA) GS Te] © BES ae Al ee SATAY, (Ee 
每 个 房间 都 共 至 一 部 分 公共 人 资源， 比如 供应 水 电 、 共 至 游泳 池 、 共 至 
健身 、 共 享 早餐 餐 吧 等 。CGroup 人 允许 用 户 设 置 一 些 限制 (以 酒店 作为 
KE) 来 保证 不 会 存在 单一 容器 占用 全 部 的 公共 资源 ， 如 用 光 全 部 水 
NaI SIN SBRD ° 


抛 开 酒店 的 例子 ， 在 Docker 的 世界 中 ， 容 器 之 间 是 互相 隔离 的 ， 
但 却 共 享 OS 资 源 ， 比 如 CPU、RAM 以 及 硬盘 1/O。CGroup 人 允许 用 户 设 
_ one 占用 主机 全 部 的 CPU、RAM 或 者 存储 
IO 资源 了 。 


3. Capability 


Drot AMAIT Ra ETALE, roA ERMAR, AE 
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少 权 限 ， 处 处 受 限 。 所 以 用 户 需 要 一 种 技术 ， 能 选择 容 需 运行 所 需 的 
root 用 户 权限 。 了 人 解 一 下 Capability ! 


在 底肥 Linux root 用 户 是 由 许多 能 力 组 成 的 。 其 中 一 部 分 包括 以 


“RIL 


CAP_CHOWN : 允许 用 户 修 改 文件 所 有 权 。 
CAP_NET_BIND_SERVICE : 人 允许 用 户 将 socket 绑 定 到 系统 端口 


“F 
CAP_SETUID : 允许 用 户 提 升 进程 优先 级 。 
CAP_SYS_BOOT: 允许 用 户 重启 系统 。 


Docker 采 用 Capability 机 制 来 实现 用 户 在 以 root 号 份 运行 容 圳 的 同 
上 时， 还 能 移 除非 必须 的 root 能 力 。 如 果 容 絮 运 行 只 需要 root 的 绑 定 系统 
网 络 端口 号 的 能 力 ， 则 用 户 可 以 在 局 动容 器 的 同时 移 除 全 部 root 能 
力 ， 然 后 再 将 CAP_NET_BIND_SERVICE 能 力 添加 回来 。 


4. MAC 


Docker 采 用 主流 Linux MAC 技 术 ， 例 如 AppArmor 以 及 SELinux ° 


基于 用 户 的 Linux 发 行 版 本 ，Docker 对 新 容器 增加 了 默认 的 
AppArmor 配 置 文件 。 根 据 Docker 文 档 的 描述 ， 默 认 配 置 文件 提供 
了 “适度 的 保护 ， 同 时 还 能 兼容 大 部 分 应 用 ”。 


Docker 人 允许 用 户 在 局 动容 器 的 时 候 不 设置 相应 策略 ， 还 允许 用 户 
根据 需求 目 己 配 置 合 适 的 策略 。 


5. Seccomp 


Docker 使 用 过 滤 模 式 下 的 Seccomp 来 限制 容 圳 对 牡 主 机 内 核发 起 
的 系统 调用 。 


按照 Docker 的 安全 理念 ， 每 个 新 容器 都 会 设置 默认 的 Seccomp 配 
置 ， 文 件 中 设置 了 合理 的 默认 值 。 这 样 做 是 为 了 在 不 影响 应 用 兼容 性 
的 前 提 下 ， 提 供 适 度 的 安全 保障 。 


用 户 同 样 可 以 目 定 义 Seccomp 配 置 ， 同 时 也 可 以 通过 加 Docker 传 
递 指 定 参 数 ， 使 Docker 启 动 时 不 设置 任何 Seccomp 配 置 。 


6. Linux 安 全 技术 总 结 


Docker 基 本 文 持 所 有 的 Linux 重 要 安全 技术 ， 同 时 对 其 进行 封装 并 
这 在 保证 了 安全 的 同时 也 避免 了 过 多 的 限制 ， 如 
各 15.5 所 示 。 


Seccomp Seccomp 
MAC MAC 
Capability Capability 


Control Group Control Group 


Linux 主 机 A 


图 15.5 ”Docker 支 持 Linux 重 要 安全 技术 


目 害 义 设置 菜 些 安全 技术 会 非 第 复 洒 ， 因 为 这 和 需要 用 户 深 入 理解 
安全 技术 的 运作 原理 ， 同 时 还 要 了 解 Linux 内 核 的 工作 机 制 。 布 望 这 些 
技术 在 未 来 能 够 们 化 配置 的 过 程 ， 但 就 现 阶 段 而 言 ， 使 用 Docker 在 对 
安全 技术 的 封闭 中 提供 的 默认 值 是 很 不 错 的 选择 。 


15.2.2 ”Docker 平 台 安 全 技术 
本 节 会 介绍 由 Docker 平 台 提 供 的 主要 的 安全 技术 。 
j O Swarm 模式 


Swarm 模式 是 Docker 未 来 的 趋势 。Swarm 模 式 文 持 用 户 集 群 化 管 
理 多 个 Docker 主 机 ， 同 时 还 能 通过 声明 式 的 方式 部 署 应 用 。 每 个 
Swarm 都 由 管理 者 和 工作 者 下 点 构成 ， 点 可 以 是 Linux 或 者 
Windows。 管 理 者 广 点 构成 了 集群 中 的 控制 层 ， 并 负责 集群 配置 以 及 
工作 负载 的 分 配 。 工 作者 市 点 不是 运行 应 用 代码 的 容器 。 


正如 所 预期 的 ，Swarm 模 式 包括 很 多 开 箱 即 用 的 安全 特性 ， 同 时 
还 设置 了 合理 的 默认 值 。 这 些 安全 特性 包括 以 下 几 点 。 


。 JZ 1 AID ° 

。 基 于 TLS 的 认证 机 制 。 

© 安全 准 入 令 牌 。 

。 支持 周期 性 证 书 自动 更 新 的 CA 配置 。 
。 加 密集 群 存储 (配置 DB) 。 

。 加密 网 络 。 


接 下 来 将 详细 介绍 如 何 构建 安全 的 Swarm， 以 及 如 何 进 行 安 全 相 
天 的 配置 。 


为 了 完成 下 面 的 内 容 ， 读 者 需要 至 少 3 个 Docker 主 机 ， 每 个 都 运行 
1.13 或 者 更 高 版 本 的 Docker。 示 例 中 3 个 Docker 主 机 分 别 叫 
作 “mgrl”mgr2”wrk1”。 每 台 主 机 上 都 安装 Ubuntu 16.04， 其 上 运行 了 
Docker 18.01.0-ce。 同 时 还 有 一 个 网 络 负责 联通 3 台 主 机 ， 并 且 主 机 之 
间 可 以 通过 名 称 互 相 ping 通 。 安 装 完成 后 如 图 15.6 所 示 。 


mgr1 


Docker 主 机 Docker 主 机 


Docker 主 机 
图 15.6 3 个 Docker 主 机 
(1) 配置 安全 的 Swarm 集群 


读者 可 以 在 其 Swarm 集群 管理 者 节点 上 运行 下 面 的 命令 。 在 本 例 
H, MAST ma PAZE. 


$ docker swarm init 
Swarm initialized: current node (7xam...662z) is now a manager. 


To add a worker to this swarm, run the following command: 


docker swarm join --token \ 
SWMTKN-1-1dmtwu...r1i7stb-ehp8g...hw738q 172.31.5.251:2377 


To add a manager to this swarm, run 'docker swarm join-token 
manager ' 
and follow the instructions. 


上 面 的 命令 就 是 配置 安全 Swarm 集群 所 要 做 的 全 部 工作 | 


“mgr1” 被 配置 为 Swarm 集群 中 的 第 一 个 管理 节点 ， 也 是 根 CAT 
点 。Swarm 集 群 已 经 被 赋予 了 加 密 Swarm ID， 同 时 “mgr1”* 市 点 为 自己 
发 布 了 一 个 客户 端 认证 信息 ， 标 明 目 己 是 Swarm 集群 管理 者 。 证 书 的 
更 新 周期 默认 设置 为 90 天 ， 集 群 配 置 数据 库 也 已 经 配置 完成 并 且 处 于 
加 密 状 态 。 安 全 令 牌 也 已 经 成 功 创建 ， 人 允许 新 的 管理 者 和 工作 者 下 点 
加 入 到 Swarm 集群 中 。 以 上 全 部 内 容 都 只 需要 一 条 命令 ! 


实验 环境 如 图 15.7 所 示 。 


Docker 主 机 Docker 主 机 
图 15.7 ”实验 环境 
现在 将 “mgr2” 方 点 加 入 到 集群 中 ， 作 为 额外 的 管理 者 方 点 。 


将 新 的 管理 者 节点 加 入 到 Swarm 需 要 两 步 。 第 一 步 ， 需 要 提取 加 
入 管理 者 到 集群 中 所 需 的 令 牌 ， 第 二 步 ， 在 “mgr2” 广 点 上 执行 
docker swarm join 命令 。 只 要 将 管理 者 准 入 令 牌 作为 docker 
Swarm join 命令 的 一 部 分 , “mgr? WEKE HEA T AJA Swarm 。 


在 “mgr1” 上 运行 下 面 的 命令 获取 管理 者 准 入 令 牌 。 


$ docker swarm join-token manager 
To add a manager to this swarm, run the following command: 


docker swarm join --token \ 
SWMTKN-1-1dmtwu...ri7stb-2axid5d...8p7gl1z \ 
172.31.5.251:2377 


命令 输出 内 容 给 出 了 管理 者 加 入 Swarm 所 需 运 行 的 准确 命令 。 准 
入 令 牌 和 IP 地 址 在 读者 自己 的 实验 环境 中 是 不 一 样 的 。 


复制 该 命令 并 在 “mgr2” 季 点 上 运行 。 


$ docker swarm join --token SWMTKN-1-1dmtwu...ri7stb- 
2axi5...8p7glz \ 


> 172.31.5.251:2377 


This node joined a swarm as a manager. 


“mgr2” 现 在 已 经 作为 另 一 个 管理 者 加 入 Swarm 。 


join 命 令 的 格式 是 docker swarm join --token <manager-join- 
token> <ip-of-existing-manager>:<swarm-port> ° 


可 以 通过 在 任意 管理 者 节点 上 运行 docker node 1s 命令 来 确 


认 上 述 操 作 。 


$ docker node ls 
ID HOSTNAME STATUS AVAILABILITY MANAGER STATUS 
7xamk...ge662Z mgrt Ready Active Leader 


i0ue4...zcjm7f * mgr2 Ready Active Reachable 


上 述 输 出 内 容 中 显示 “mgr1” 和 “mgr2” 都 加 入 了 Swarm， 并 且 都 是 
Swarm 管理 者 。 最 新 的 配置 如 图 15.8 所 示 。 


Docker 主 机 


图 15.8“mgrl1” 和 “mgr2” 都 加 入 了 Swarm 
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向 Swarm 中 加 入 工作 者 也 只 需 两 步 。 第 一 步 需 要 获取 新 工作 者 的 
TEA SH, 第 二 步 是 在 工作 者 节点 上 运行 docker swarm join 命 


Zo 
在 任意 管理 者 世 点 上 运行 下 面 的 命令 ， 获 取 工 作者 准 入 令 牌 。 


$ docker Swarm join-token worker 


To add a worker to this swarm, run the following command: 


docker swarm join --token \ 
SWMTKN-1-1dmtw...17stb-ehp8g...w738q \ 
172.31.5.251:2377 


读者 可 以 在 指定 工作 者 的 节点 上 运行 该 命令 。 准 入 令 牌 和 IP 地 址 
会 有 所 不 同 。 


复制 如 下 所 示 命 令 到 “wrk1” 上 并 且 运 


$ docker swarm join --token SWMTKN-1-1dmtw...17stb-ehp8g...w738q \ 
> 172.31.5.251:2377 


This node joined a swarm as a worker. 


在 任意 Swarm 管理 者 上 运行 docker node ls 命令 


$ docker node 1s 
HOSTNAME STATUS AVAILABILITY MANAGER STATUS 
..ge662z * mgri Ready Active Leader 


..ofzZviu wrk Ready Active 
..Zzcjm7f mgr2 Ready Active Reachable 


目前 读者 已 经 拥有 包含 两 个 管理 者 和 一 个 工作 者 的 Swarm 集群 © 
(HA) ， 并 且 复 用 集群 存储 。 最 新 的 配置 如 图 
15.9PFTAR ° 
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图 15.9 ”将 管理 者 配置 为 高 可 用 (HA) 
(2) 了 解 Swarm 安全 背后 的 原理 


到 目前 为 止 ,读者 已 经 成 功 搭建 了 安全 的 Swarm 集 群 。 接 下 来 一 
起 花费 几 分 钟 了 解 一 下 这 背后 涉及 的 安全 技术 。 


1) Swarm 准 入 令 有 牌 

回 某 个 现存 的 Swarm 中 加 入 管理 者 和 工作 者 所 需 的 唯一 任 证 束 是 
准 入 令 脾 。 因 此 ， 保 证 准 入 令 牌 的 安全 十 分 关键 ! 不 要 将 其 发 布 到 公 
开 的 Github 仓 库 中 。 

每 个 Swarm 都 包含 两 种 不 同 准 入 令 牌 。 


“管理 者 所 需 准 入 令 牌 。 
“工作 者 所 需 准 入 令 牌 。 


有 必要 理解 Swarm 准 入 令 牌 的 格式 。 每 个 准 入 令 牌 都 由 4 个 不 同 的 
字段 构成 ， 中 间 采 用 虚线 (-) 连接 。 


PREFIX - VERSION - SWARM ID - TOKEN 


PREFIX 永 远 是 “SWMTKN”， 这 样 允许 读者 通过 表达 式 匹 配 到 该 
令 牌 ， 以 避免 意外 将 其 发 布 到 公共 环境 当中 ; VERSION 这 一 列 则 展示 
了 了 Swarm 的 版 本 信息 :SWARM ID 列 是 Swarm 认 证 信息 的 一 个 哈 希 


Ee ee aan aah E 


如 下 所 示 ， 对 于 指定 Swarm 的 管理 者 和 工作 者 准 入 令 牌 ， 除 了 最 
后 TOKEN 字 段 的 内 容 之 外 没有 任何 区 别 。 


。 管理 者 : SWMTKN-1-1dmtwusdc...r17stb- 
2axi53zjbs45lqxykaw8p7glz ° 

。 工 作者: SWMTKN-1-1dmtwusdc...r17stb- 
ehp8gltji64jbl45zl6hw738q ° 


如 采用 户 认 为 当前 准 入 令 牌 存 在 风险 ， 仅 用 一 条 命令 束 可 以 取 请 
该 准 入 令 牌 授权 ， 同 时 发 布 新 的 准 入 令 牌 。 在 下 面 的 示例 中 ， 取 消 了 
己 经 授权 的 管理 者 准 入 令 牌 ， 之 后 又 发 布 了 新 的 令 脾 。 


$ docker swarm join-token --rotate manager 
Successfully rotated manager join token. 


To add a manager to this swarm, run the following command: 


docker swarm join --token \ 
SWMTKN-1-1dmtwu...r17stb-117txLh6k3hb921z3yjtcjrc7 \ 
172.31.5.251:2377 


需要 注意 的 是 ， 新 旧 令 牌 只 有 最 后 字段 存在 区 别 。SWARM ID 还 
是 相同 的 。 


准 入 令 牌 保存 在 集群 配置 的 数据 库 中 ， 默 认 是 加 密 的 。 
2) TLS 和 双向 认证 
每 个 加 入 Swarm 的 管理 者 和 工作 者 下 点， 都 需要 发 布 目 己 的 客户 


端 证 书 。 这 个 证 书 用 于 双向 认证 。 证 书 中 定义 了 节点 相关 信息 ， 包 括 
Pareles rel om ieee ine Aue honey 


在 Linux 主 机 上 ， 读 者 可 以 指定 使 用 下 面 的 命令 查看 指定 节点 的 客 
户 端 证 书 。 


sudo openssl x509 \ 
-in /var/lib/docker/swarm/certificates/swarm-node.crt \ 
-text 


Certificate: 


Data: 
Version: 3 (0x2) 
Serial Number: 
80:2c:a7:b61:28...a8:af:89:a1:2a:51:89 
Signature Algorithm: ecdsa-with-SHA256 


Issuer: CN=swarm-ca 
Validity 
Not Before: Jul 19 07:56:00 2017 GMT 
Not After : Oct 17 08:56:00 2017 GMT 
Subject: O=mfbkgjm2tlametbnfqt2zid8x, OU=swarm- 
manager, 
CN=7xamk8w3hz9q5kgr 7xyge662z 
Subject Public Key Info: 
<SNIP> 


Piit, Subject 中 用 到 了 0 + OU 以 及 CN 字段 分 别 表示 
Swarm ID ` TABLA AIDE E ° 


。 组 织 字段 0 保存 的 是 Swarm ID ° 
。 组 织 单元 字段 OU 保存 的 是 下 点 在 Swarm 中 的 角色 。 
© 规范 名 称 字 段 CN 保存 的 是 节点 的 加 密 ID。 


如 图 15.10 所 示 。 


Certificate: 
Data: 
Version: 3 (0x2) 
Serial Numher: 
Swarm ID: : 8f :7f:9f:f3:90:21:29:a8.. 
Signature Algor\thm: ecdsa-w Swarm role Node ID 
Issuer: CN=swarm-ca 


Validity 
Not Befora: Jul 19 @7:56:0@ 2017 GMT 
Not After: \ Oct 17 08:56:00 2017 GMT 
Subject: zi JE | 
Subject Public Key Info: 
Public Key Algorithm: id-ecPublicKey 


图 15.10 Subject 中 使 用 的 字段 


在 Validity 中 ， 还 可 以 直接 看 到 证 书 的 更 新 周期 。 


上 述 信 息 可 以 在 docker system info 命令 的 输出 中 得 到 验 
证 。 
$ docker system info 
Swarm: active 


NodeID: 7xamk8w3hz9q5kgr 7xyge662z << Relates to the CN field 
Is 


Manager: true Relates to the OU field 


ClusterID: mfbkgjm2tlametbnfqt2zid8x << Relates to the O field 


CA Configuration: 


Expiry Duration: 3 months Relates to Validity field 


Force Rotate: 0 
Root Rotation In Progress: false 


3) 配置 一 些 CA 信 息 


通过 docker swarm update 命令 可 以 配置 Swarm 证 书 的 更 新 周 
期 。 下 面 的 示例 中 ， 将 Swarm 的 证 书 更 新 周期 修改 为 30 天 。 


$ docker swarm update --cert-expiry 720h 


Swarm 人 允许 世 点 在 证 书 过 期 前 重新 创建 证 书 ， 这 样 可 以 保证 
Swarm 中 全 部 节点 不 会 在 同一 时 间 党 试 更 新 自己 的 证 书信 息 。 


读者 可 以 在 创建 Swarm 的 时 候 ， 通 过 在 docker swarm init 命 
令 中 增加 - -external-ca 参数 来 指定 外 部 的 CA。 


docker swarm ca 命令 可 以 用 于 管理 CA 相关 配置 。 可 以 在 运 
行 该 命令 时 指定 - -help 来 查看 命令 功能 。 


$ docker swarm ca --help 
Usage: docker swarm ca [OPTIONS] 


Manage root CA 


Options: 
--ca-cert pem-file Path to the PEM-formatted 
root CA 
certificate to use for the 
new cluster Path 
--ca-key pem-file to the PEM-formatted root 
CA 
key to use for the new 


cluster 
--cert-expiry duration Validity period for node 


certificates 
(ns|us|ms|s|m|h) (default 
2160homos ) 
-d, --detach Exit immediately instead of 
waiting for the 
root rotation to converge 
Specifications of 
--external-ca external-ca one or more certificate 
Signing endpoints 
Print usage 
--help Suppress progress output 
-q, --quiet Rotate the swarm CA - if no 
certificate 
--rotate or key are provided, new 
ones will be gene\ 


4) 集群 存储 
集群 存储 是 Swarm 的 大 脑 ， 保 存 了 集群 配置 和 状态 数据 。 


存储 目前 是 基于 etcd 的 某 种 实现 ， 并 且 会 在 Swarm 内 所 有 管理 者 
之 间 目 动 复制 。 存 储 默认 也 十 加 密 的 。 


集群 存储 正 逐 渐 成 为 很 多 Docker 平 台 的 关键 技术 。 例 如 ，Docker 
网 络 和 Docker 密 钥 都 用 到 了 集群 存储 。Docker 平 台 的 很 多 部 分 都 已 经 


用 到 了 集群 存储 ， 未 来 对 集群 存储 的 利用 会 更 多 ， 而 这 也 是 Swarm 模 
式 在 Docker 规 划 中 占据 重要 地 位 的 原因 之 一 。 这 还 意味 着 ， 如 果 不 使 
用 Swarm 模 式 运 行 Docker， 很 多 Docker 特 性 就 无 法 使 用 。 


集群 存储 的 日 常 维 护 由 Docker 自 动 完 成 。 但 是 ， 在 生产 环境 中 ， 
需要 为 集群 存储 提供 完整 的 备份 和 恢复 方案 。 


Swarm 模 式 安全 部 分 的 内 容 到 此 为 止 。 
2 .Docker 安 全 扫描 


快速 发 现代 码 缺 陷 的 能 力 至 关 重 要 。Docker 安 全 扫描 功能 使 得 对 
Docker 镜 像 中 己 知 缺陷 的 检测 工作 变 得 简单。 


在 本 书 编写 之 时 ，Docker 安 全 扫描 已 经 可 以 用 于 Docker Hub 上 私有 仓库 的 镜像 
| 了。 同时 该 技术 还 可 以 作为 Docker 可 信服 务 本 地 化 部 署 解 决 方案 的 一 部 分 。 最 后 ， 
| 所 有 官方 Docker 镜 像 都 经 过 了 安全 扫描 ， 扫 描 报告 在 其 仓库 中 可 以 查阅 。 


Docker 安 全 扫描 对 Docker 镜 像 进行 二 进 制 代码 级 别 的 扫描 ， 对 其 
中 的 软件 根据 已 知 缺陷 数据 库 〈《CVE 数 据 库 ) 进行 检查 。 在 扫描 执行 
完成 后 ， 会 生成 一 份 详细 报告 。 


打开 浏览 器 访问 Docker Hub， 并 搜索 Alpine 仓 库 。 图 15.11 展 示 了 
官方 Alpine 仓 库 的 Tags 标 签 页 。 
Scanned Images 


edge 
Scanned 151 


latest nis image has no known vu 


his image has no known vulnerabilities 


@ This image has vulnerabilities 


图 15.11 ”官方 Alpine 仓 库 的 Tags 标 签 页 

Alpine 仓 库 是 官方 仓库 ， 这 意味 看 该 仓库 会 目 动 扫描 并 生成 对 应 
报告 。 可 以 看 到 ， 镜 像 标签 为 edge ` latest 以 及 3 .6 的 镜像 都 通 
J 。 但 是 alpine:3.5 镜像 存在 已 知人 缺陷 ( 标 
ZT.) ° 


如 果 打 开 alpine:3.5 镜像 ， 可 以 发 现 如 图 15.12 所 示 的 详细 信 


JON 
Scan results for alpine:3.5 
1 of 6 components is vulnerable 


Layers 


cv 
ADD file:9d677 mut 
libe 


musi 1.1.15 CVE-2016-8859 
Ny) 


图 15.12 alpine:3.5 镜像 的 详细 信息 
这 是 发 现 自己 软件 中 已 知 缺陷 详情 的 一 种 简单 方式 。 


Docker 可 信和 镜像 仓库 服务 (Docker Trusted Registry, DTR) ， 属 于 
Docker 企 业 版 中 本 地 化 镜像 仓库 服务 的 一 部 分 内 容 ， 提 供 了 相同 的 
Capability， 同 时 还 允许 用 户 目 行 控制 其 镜像 扫描 时 机 以 及 扫描 方式 。 
例如 ，DTR 人 允许 用 户 选 择 镜 像 是 在 推送 时 目 动 触发 扫描 ， 还 是 只 能 手 
工 触发 。 同 时 DTR 还 允许 用 户 手 动 更 新 CVE 数 据 库 ， 这 对 于 DTL 无 法 
进行 联网 来 自动 更 新 CVE 数 据 的 场景 来 说 ， 是 一 种 理想 的 解决 方案 。 


这 就 是 Docker 安 全 扫描 ， 一 种 深入 检测 Docker 镜 像 是 否 存 在 已 知 
安全 缺陷 的 好 方式 。 当然 ， 能 力 越 大 责任 越 大 ， 当 用 户 发 现 缺陷 后 ， 
束 需 要 承担 解决 相应 缺陷 的 贡 任 了 。 


3. Docker 内 容 信 任 


Dockr 内 容 信 任 (Docker Content Trust, DCT) 使 得 用 户 很 容易 就 
能 确认 所 下 载 镜像 的 完整 性 以 及 其 发 布 者 。 在 不 可 信任 的 网 络 环境 中 


下 载 镜 像 时 ， 这 一 点 很 重要 。 


从 更 高 层面 来 看 ，DCT 人 允许 开发 者 对 发 布 到 Docker Hub 或 者 
Docker 可 信服 务 的 镜像 进行 签名 。 当 这 些 镜像 被 拉 取 的 时 候 ， 会 自动 
确认 签名 状态 。 图 15.13 展 示 了 这 一 过 程 。 


DCT 还 可 以 提供 关键 上 下 文 ， 如 镜像 是 否 已 被 签名 从 而 可 用 于 生 
产 环境 ， 镜 像 是 否 被 新 版 本 取代 而 过 时 等 。 


m 在 本 书 编写 之 际 ，DTC 提 供 的 上 下 文 还 在 初期 ， 配 置 起 来 相当 复 


ZAN 


在 Docker 主 机 上 局 用 DCT 功 能 ， 所 要 做 的 只 是 在 环境 中 将 
DOCKER_CONTENT_TRUST 变量 设置 为 1。 


$ export DOCKER_CONTENT_TRUST=1 


© [me =12 


发 布 者 消费 者 

图 15.13 ”镜像 被 拉 取 时 自动 确认 签名 状态 

在 实际 环境 中 ， 用 户 可 能 希望 在 系统 中 默认 开局 该 特性 。 

如 果 使 用 Docker 统 一 配置 层 〈Docker 企 业 版 的 一 部 分 ) | BEA 


选 图 中 15.14 所 示 Run Only Signed Images 复 选 项 。 这 样 会 强制 
所 有 在 UCP 集 群 中 的 节点 只 运行 已 签名 镜像 。 


Admin Settings 


CONTENT TRUST SETTINGS 


J Run Only Signed Images 


Any UCP user can sign V 


secops 


图 15.14 勾 选 0nly run signed images 复 选项 


由 图 15.14 中 可 知 ， UCP 在 DCT 的 基础 上 进行 进 一 WHR, EET 
已 签名 镜像 的 安全 首选 项 信息 。 例 如 ， 用 户 可 能 这 样 的 需 求 ， 在 生 
产 环境 中 只 能 使 用 由 secops 签名 的 镜像 。 


一 旦 DCT 功 能 开启 ， 就 不 能 获取 并 使 用 未 签名 镜像 了 。 图 15.15 展 
示 了 开启 DCT 之 后 ， 如 果 再 次 尝试 通过 Docker CLI 或 者 UCP Web ULF 
面 拉 取 未 签名 镜像 时 所 报 的 错误 (两 个 示例 都 尝试 拉 取 标签 
为 “unsigned” 的 镜像 ) 。 


$ docker pull repo/image:unsigned 
Docker 主 机 


Error: No trust data for unsigned 


Error creating service X Webi 
image did not meet required signing policy 


图 15.15” 拉 取 未 签名 镜像 时 报错 


图 15.16 展 示 了 DCT 是 如 何 阻止 Docker 客 户 端 拉 取 一 个 被 自 改 的 镜 
像 的 。 图 15.17 展 示 了 DCT 如 何 阻 止 客户 端 拉 取 旧 镜 像 。 


$ docker pull repo/image:fakesignature 


Warning: potential malicious behavior - trust data has 


insufficient signatures for remote repository 
docker.io/repo/image: valid signatures did not match threshold 


图 15.16” 拉 取 被 算 改 的 镜像 


$ docker pull repo/image:stale 


Error: remote repository docker.io/repo/image out-of-date: 
targets expired at Sun Mar 26 93:56:12 PDT 2017 


图 15.17 MAURER 


Docker 内 容 信任 是 一 种 很 重要 的 技术 ， 能 帮助 用 户 检查 从 Docker 
服务 中 拉 取 的 镜像 。 该 技术 的 基础 模式 配置 起 来 非常 简单 ， 但 是 类 似 
上 下 文 等 一 些 高 级 特性 ， 现 阶段 配置 起 来 还 是 非常 复杂 的 。 


4. Docker 密 铀 


很 多 应 用 都 需要 密 钥 。 比 如 密码 、TLS 证 书 、SSH key 等 。 


在 Docker1.13 版 本 之 前 ， 没 有 一 种 标准 且 安 全 的 方式 能 让 密 钥 在 
应 用 间 实 现 共享 。 常 见 的 方式 是 开发 人 员 将 密 钥 以 文本 的 方式 写 入 环 
境 变 量 (我 们 都 这 么 做 过 ) 。 这 与 理想 状态 差距 其 远 。 

Docker1.13 引 入 了 Docker 密 钥 ， 将 密 钥 变 成 Docker 生 态 系 统 中 的 
一 等 公民 。 例 如 ， 增 加 了 一 个 新 的 子 命令 docker secret 来 管理 密 
钥 。 在 Docker 的 UCP 界 面 中 ， 也 有 专门 的 地 方 来 创建 和 管理 密 钥 。 在 
后 台 ， 密 钥 在 创建 后 以 及 传输 中 都 是 加 密 的 ， 使 用 时 被 挂 载 到 内 存 文 
件 系 统 ， 并 且 只 对 那些 已 经 被 授权 了 的 服务 开放 访问 。 这 确实 是 一 种 
综合 性 的 端 到 端 解决 方案 。 

图 15.18 展 示 了 其 总 体 流程 。 

下 面 依次 介绍 图 15.18 中 所 示 工 作 流 的 每 一 步 。 

(1) 密 钥 被 创建 ， 并 且 发 送 到 Swarm 。 


(2) 密 钥 存 放 在 集群 存储 当中 ， 并 且 是 加 密 的 (每 个 管理 者 市 点 
都 能 访问 集群 存储 ) 。 


(3) B 服 务 被 创建 ， 并 且 使 用 了 该 密 钥 。 


(4) 密 钥 传输 到 B 服 务 的 任务 节点 (容器 ) 的 过 程 是 加 密 的 。 
(5) B 服 务 的 容器 将 密 钥 解密 并 挂 载 到 路 径 /run/secrets 
下 。 这 是 一 个 临时 的 内 存 文件 系统 (在 Windows Docker 中 该 步骤 有 所 
不 同 ， 因 为 Windows 中 没有 内 存 文 件 系 统 这 个 概念 ) 。 


(6) 一 旦 容器 (服务 任务 ) 完成 ， 内 存 文件 系统 关闭 ， 密 钥 也 随 
之 删除 。 


(7) A 服务 中 的 容器 不 能 访问 该 密 钥 。 


Raft 一 致 性 分 组 


ee 
Ci” 


工作 者 1 
A 
图 15.18 引入 Docker 密 钥 


用 户 可 以 通过 docker secret 子 命令 来 管理 密 钥 ， 可 以 通过 在 
运行 docker service create 命令 时 附加 - -secret ， 从 而 为 某 
个 服务 指定 密 钥 。 


15.3 “本章 小 结 


Docker 可 以 通过 配置 变 得 特别 安全 。Docker 文 持 全 部 的 Linux 主 流 
安全 技术 ， 包 括 Namespace、Control Group、Capability、MAC 以 及 
Seccomp“。 了 Docker 为 这 些 安 全 技术 设 定 了 合理 的 默认 值 ， 但 是 用 户 也 
可 以 目 行 修改 配置 ， 或 者 禁用 这 些 安 全 技术 。 


在 通用 的 Linux 安 全 技术 之 上 ，Docker 平 台 还 引入 了 大 量 自 有 安全 
技术 。Swarm 模 式 基 于 TLS 构 建 ， 并 且 配 置 上 极其 简单 灵活 。 安 全 扫 
描 对 镜像 进行 二 进 制 源 码 级 别 扫 描 ， 并 提供 已 知 缺陷 的 详细 报告 。 
Docker 内 容 信任 允许 用 户 对 内 容 进行 签名 和 认证 ， 密 钥 目前 也 是 
Docker 中 的 一 等 公民 。 


最 终结 论 融 是， 无 论 用 户 和 希望 Docker 环 境 有 多 安全 ，Docker 都 可 
以 实现 。 这 一 切 都 取决 于 用 户 如 何 配置 Docker 。 


第 16 章 ”企业 版 工具 


在 本 章 中 ， 主 要 关注 Docker 提 供 的 一 些 企业 级 工具 ， 包 括 如 何 安 
` 如 何 配置 、 如 何 备份 以 及 存储 。 


本 章 内 容 会 比较 长 ， 并 且 大 部 分 都 是 技术 细节 的 分 步 介绍 。 本 书 
尽量 保证 内 容 有 趣 ， 不 过 这 确实 很 难 。 


本 章 会 集中 关注 Docker 公 司 提供 的 工具 。 
让 我 们 直接 开始 吧 。 


16.1 企业 版 工具 一 简介 


Docker 和 容器 束 像 风 骏 一 样 友 着 了 整个 应 用 开发 世界 一 一 构建 、 
打包 以 及 运行 应 用 从 未 变 得 如 此 简单 。 所 以 各 大 企业 纷纷 介入 也 没有 
eee o (AASB OR BEATA AIT AC, (EL 
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企业 需要 Docker 能 实现 私有 化 部 署 。 这 通常 常 意味 着 Docker 需 要 一 
个 本 地 化 部 署 方案 ， 并 且 由 企业 自己 掌控 和 维护 。 这 还 意味 着 角色 和 
安全 功能 需要 满足 企业 内 部 的 组 织 结构 ， 并 且 在 安全 部 门 的 监管 之 
下 。 同 时 还 需要 一 份 重要 的 售后 支持 协议 。 


Docker 企 业 版 (Enterprise Edition, EE) 应 运 而 生 ! 
Docker EE 是 企业 版 的 Docker。 其 内 部 包括 了 上 百 个 引擎 、 操 作 界 
T 。 用户 可 以 本 地 化 部 署 ， 并 且 其 中 包括 了 一 份 文 


上 层 架 构 如 图 16.1 所 示 。 


Docker 可 信和 镜像 仓库 服务 本 地 化 安全 服务 


Docker 统 一 控制 层 UI 企业 级 操作 界面 


已 认证 的 操作 系统 和 云 平台 已 认证 的 基础 架构 


图 16.1 Docker EE 


16.2 ”企业 版 工具 一 一 详解 


本 节 内 容 按 如 下 方式 划分 。 


。Docker EE 引 擎 。 
。 Docker 统 一 控制 平台 (UCP) 。 
© Docker 可 信和 镜像 仓库 服务 (DTR) ° 


接 下 来 会 介绍 如 何 安 流 每 项 功能 ， 以 及 在 适用 的 情况 下 配置 HA 


(高 可 用 ) ， 并 且 执 行 备份 和 修复 工作 。 


16.2.1 Docker FE3|% 


Docker3| 擎 提供 Docker 全 部 核心 功能 。 核 心 功 能 包括 镜像 、 容 器 
管理 、 网 络 、 卷 、 集 群 、 安 全 等 。 在 本 书 编 写 之 时 ， 包 括 两 个 版 本 : 


社区 版 (CE) 和 企业 版 (EE) 。 


"m a He PDA, Wist AAAH 
ET 。 


Docker EE 是 按 季度 发 布 ， 采 用 基于 时 间 版 本 的 方案 。 例 如 ，2018 
年 6 月 发 布 的 Docker EE 叫 作 18 .06 .x-ee 。Docker 公 司 提 供 持续 一 年 


的 文 持 ， 并 且 为 每 个 版 本 打 补 丁 。 


安装 Docker EE 


Docker EE 很 简单 。 但 是 ， 不 同 平台 的 安 洲 方 式 略 有 不 同 。 本 
书 会 介绍 在 Ubuntu 16.04 的 安装 过 程 ， 但 其 他 平台 的 安 凌 也 非常 简单 。 


Docker EE 是 基于 订阅 模式 的 服务 ， 所 以 用 户 需 要 一 个 Docker ID 
并 且 激 活 订 阅 。 然 后 束 可 以 获得 专 诗 Docker EE 人 仓库， 在 接 下 来 的 步骤 
会 用 到 。 试 用 许可 证 通常 也 是 可 行 的 。 


在 Windows 服 务 器 上 的 Docker 通 常 都 安装 Docker EE。 人 参考 第 3 章 内 容 可 以 了 解 
如 何在 Windows Server 2016 上 安装 Docker EE ° 


下 面 的 命令 可 能 需要 sudo 前 绥 。 


(1) 检查 是 否 拥有 最 新 包 列 表 


$ apt-get update 


(2) 安装 过 程 需 要 通过 HTTPS 访 问 Docker EE ° 


T 


$ apt-get install -y \ 
apt-transport-https \ 
curl \ 


software-properties-common 


(3) 登录 Docker 存 储 ， 复 制 Docker EE 仓 库 URL。 


使 用 浏览 器 访问 Docker Store 。 单 击 右 上 方 的 用 户 名 并 选择 My 
Content 。 选 择 某 个 已 经 订阅 的 Docker EE， 单 击 Setup ， 如 图 16.2 
所 示 。 


w Docker Enterprise Edition 


Advanced | 5 Linux (x86-64) Nodes 
— Ea J 


图 16.2 ”选择 已 订阅 的 Docker EE， 单 击 Setup 
复制 Resources 面板 下 面 的 仓库 URL 。 
下 载 许可 证 ， 如 图 16.3 所 示 。 


Resources 


le 


License Key qm 


Download CVE Vulnerability Database for @ 
DTR version 2.2.5 or lower 


| 4a 


Download CVE Vulnerability Database for © 
DTR version 2.2.6 or higher 


| 和 


https://storebits.docker.com/ee/m/sub-f-: D =a 


图 16.3 下载 许可 证 


本 书 演示 了 如 何 设置 Ubuntu 的 仓库 。 但 是 ， 当 前 Docker 存 储 页 面 
还 包括 其 他 Linux 发 行 版 的 设置 教程 。 


(4) 在 环境 变量 中 设置 专 享 的 Docker EE 仓库 URL 。 


$ DOCKER_EE_ REPO=<paste-in-your-unique-ee-url> 


(5) 将 官方 Docker GPG 密 钥 加 入 全 部 密 钥 环 (keyring) 。 


$ curl -fsSL "${DOCKER_EE_REPO}/ubuntu/gpg" | sudo apt-key add - 
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$ add-apt-repository \ 
"deb [arch=amd64] $DOCKER_EE_REPO/ubuntu \ 
$(1sb_release -cs) \ 


stable-17.06" 


(7) 运行 apt-get update ， 从 刚 设 置 的 Docker EE 仓库 中 拉 
取 最 新 包 列 表 。 


(8) UZ BiH Docker 。 


$ apt-get remove docker docker-engine docker-ce docker.io 


(9) 安装 Docker EE ° 


$ apt-get install docker-ee -y 


$ docker --version 
Docker version 17.06.2-ee-6, build e75fdb8 


安装 完成 ， 可 以 局 动 Docker EE3| 擎 了 。 


接 下 来 安 狼 UCP ° 


16.2.2 ” Docker 通用 控制 平面 (UCP) 


ANTI REE RAE FB UCP 代 指 Docker 通 用 控制 平面 。 


UCP 是 企业 级 的 容 絮 即 服 务 平台 的 图 形 化 操作 界面 。UCP 使 用 
Docker3 引 | 警 ， 并 添加 了 各 种 企业 喜欢 以 及 需要 的 功能 。 例 如 RBAC ` 


可 配置 、 认 证 、 高 可 用 控制 平面 以 及 简单 界面 。 在 UCP 内 部 ， 有 是 一 个 
容器 化 的 微服 务 应 用 ， 以 多 个 容器 的 形式 运行 。 


架构 层面 上 讲 ，UCP 是 基于 Swarm 模式 下 的 Docker EE 构建 的 。 如 
16.4 所 示 ，UCP 控 制 平 面 运行 在 Swarm 管理 节点 上 ， 应 用 则 部 署 在 
Swarm 工作 节点 上 ° 


管理 节点 S 
UCP 管 理 节点 UCP 管 理 节点 


| 
| 
| UCP 代 理 UCP 代 理 
| = Docker EE Docker EE 


UCP 管 理 节点 


UCP 代 理 = ee 
Docker EE = | 


| UCP 工 作 节 点 
© swarm 


| -一 用 户 工作 负载 


图 16.4 ”UCP 结构 

截至 本 书 编 写 时 ，UCP 管 理 世 点 必须 是 Linux。 工 作 节 点 既 可 以 
Windows， 也 可 以 是 Linux。 
1. 规划 UCP 安 装 

在 规划 UCP 安 装 的 时 候 ， 合 理 设置 集群 大 小 和 规格 十 分 重要 。 下 
面 介 绍 该 过 程 中 需要 考虑 的 一 些 方面 。 


集群 中 全 部 节点 的 时 钟 需要 同步 〈 例 如 NTP) 。 如 采 没 有 同步 ， 
可 能 导致 一 些 很 难 定位 的 问题 。 

全 部 节点 都 要 有 自己 的 静态 JP 地 址 和 国定 的 DNS 名 称 。 

上 默认 情况 下 ，UCP 管 理 广 点 不 运行 用 户 工作 人 负载。 推荐 使 用 这 种 


最 住 实践 ， 并 建议 用 户 在 生产 环境 中 强制 使 用 。 该 方式 使 得 管理 市 点 
只 需 关 注 控 制 平面 职责 。 同 时 也 能 简化 问题 定位 。 


用 户 需 要 保证 管理 节点 数量 为 奇数 。 这 样 就 能 避免 出 现 脑 裂 等 类 
似 场 景 时 ， 会 导致 管理 和 点 不 可 用 ， 或 者 与 集群 割裂 的 现象 。 理 想 数 
量 为 3、5 或 者 7，3 或 者 5 是 较 常 用 的 。 多 于 7 的 话 ， 可 能 导致 后 台 Raft 
算法 或 者 集群 一 致 性 的 问题 。 如 果 不 能 提供 3 个 管理 节点 ，1 个 要 好 于 2 


个 ! 


如 果 配 置 了 后 台 计 划 (用 户 应 当 配 置 ， 并 进行 日 常备 份 ， 可 能 需 
要 部 署 5 个 管理 三 点 。 这 是 因为 Swarm 和 UCP 的 备份 操作 需要 停 上 
人 o 5 个 管理 节点 可 以 保证 在 执行 类 似 操作 时 集群 的 弹 


管理 入 点 应 当 根据 数据 中 心 可 用 域 进行 部 署 。 用 户 最 不 想见 到 的 
场景 ， 吏 是 全 部 UCP 管 理 世 点 所 在 的 域 都 不 可 用 。 但 是 ， 管 理 季 点 之 
间 的 通信 必须 经 由 高 速 可 靠 的 网 络 完成 。 因 此 如 采 数 据 中 心 可 用 域 之 
间 网 络 状况 不 佳 ， 最 好 还 是 将 所 有 管理 节点 部 署 在 相同 域 之 中 。 有 件 
事 已 经 约定 成 众 ， 即 在 公有 云 上 部 署 时 ， 需 要 将 管理 点 部 署 在 同 区 
域内 的 可 用 域 中 。 路 区 域 通 稼 会 受到 低 可 靠 性 和 高 延迟 网 络 的 影响 。 


工作 市 点 的 数量 可 以 根据 需求 设置 ， 因 为 它们 并 不 会 参与 到 集群 
Raft 操 作 当 中 ， 所 以 整 不 会 影响 控制 平面 操作 。 


规划 工作 下 点 的 规格 和 数量 ， 需 要 理解 计划 部 署 在 集群 上 的 应 用 
需求 。 例 如 ， 理 解 之 后 能 帮助 用 户 确定 需要 多 少 Windows 有 点 和 Linux 
厂 点。 同时 还 需要 知道 应 用 是 否 有 特殊 需求 ， 需 要 工作 节点 的 定制 化 
来 文 持 ， 例 如 PCI 类 工作 负载 。 


此 外 ， 虽 然 Docker 引 擎 是 轻 量 级 的 ， 但 其 上 运行 的 容器 化 应 用 不 
一 定 也 是 。 出 于 这 样 的 考虑 ， 根 据 应 用 的 CPU、RAM、 网 络 以 及 磁盘 
IO 需求 规划 节点 数目 就 很 重要 了 。 

确定 合理 的 节点 配置 并 不 是 什么 好 玩 的 事 儿 ， 这 完全 取决 于 工作 
。 但 是 ，Docker 网 站 上 对 Linux Docker UCP 2.2.4 的 最 低 配 置 有 如 
下 建议 。 


。 UCP 管 理 节 点 运行 DTR: 8GB RAM, 3GB RZ H] 。 
。UCP 工 作 节 点 :4GB RAM，3GB 空 闲人 磁盘 空间 。 


推荐 配置 如 下 。 


。 运行 DTR 的 UCP 管 理 节 点 : 8GB RAM，4 核 CPU，100GB 磁 盘 。 
。UCP 工 作 节 点 : 4GB RAM，25-100GB 空 闲 和 磁盘 空间 。 


该 建议 仅 供 参考 ， 用 户 在 确定 配置 时 需要 自己 多 加 练习 。 


有 一 点 是 确认 的 : Window 镜 像 会 比 Linux 镜 像 稍 大 一 些 。 所 以 规 
划 时 务 必 考 虑 该 因素 。 


关于 需求 规划 最 后 多 说 一 点 。Docker Swarm 和 Docker UCP 人 简化 了 
管理 和 点 和 工作 和 点 的 添加 /删除 工作 。 痢 加 入 的 管理 和 点 被 目 动 加 入 
到 HA 控制 平面 ， 新 加 入 的 工作 节点 马上 就 能 参与 到 工作 负载 调度 当 
中 。 类 似 的 ， 删 除 管 理 节 点 和 工作 节点 也 非常 简单 。 只 要 拥有 多 个 管 
理 世 点 ， 就 可 以 在 不 影响 集群 操作 的 情况 下 移 除 其 中 一 个 。 移 除 工作 
斑点 时 ， 需 要 清理 该 节点 上 的 工作 负载 ， 然 后 从 运行 中 的 集群 移 除 。 
上 述 特 点 使 得 UCP 对 管理 节点 和 工作 和 点 的 变更 做 到 不 感知 。 


记 住 前 面 的 内 容 后 ， 束 可 以 开始 安 狼 UCP 了。 


2 .安装 Docker UCP 


本 市 主要 介绍 在 新 集群 的 第 一 个 管理 广 感 上 安 狠 Docker UCP 的 完 
整 过 程 。 


(1) 在 某 个 Linux Docker EE 节 点 上 运行 下 面 的 命令 ， 该 节点 应 
是 计划 中 作为 UCP 集 群 的 第 一 个 管理 站 点 。 


关于 命令 需要 补充 说 明 ， 示 例 在 安装 UCP 时 ， 使 用 了 
docker/ucp:2.2.5 镜像， 用 户 需 要 替换 为 适合 目 己 的 版 本 。- - 
host-address 设置 了 Web 界 面 访问 地 址 。 如 果 用 户 在 AWS 上 完成 安 
x ， 网 访问 公司 的 网 络 ， 这 里 就 需要 设置 AWS 的 公 
JIP S 


$ docker container run --rm -it --name ucp \ 
-v /var/run/docker.sock:/var/run/docker.sock \ 
docker/ucp:2.2.5 install \ 


--host-address <node-ip-address> \ 
--interactive 


(2) 配置 管理 员 账号 。 安 装 过 程 会 提示 用 户 输入 用 户 名 和 密码 ， 
作为 UCP 管 理 员 账号 。 这 是 一 个 本 地 账号 ， 建 议 遵守 公司 规范 来 创建 
用 户 名 和 和 密码。 创建 后 干 万 不 要 起 记 。 


(3) 主体 别名 (Subject Alternative Name, SAN) 。 安 装 程序 会 
提示 输入 能 访问 UCP 的 IP 地 址 和 名 称 列表 。 列 表 内 容 可 以 是 私有 IP 地 
址 以 及 DNS 名 称 ， 并 且 会 加 入 到 账号 当中 。 


安装 过 程 还 需 注意 以 下 的 一 些 内 容 。 

UCP 基 于 Docker Swarm， 这 意味 着 UCP 管 理 世 点 需要 运行 在 
Swarm 管理 和 点 上 。 如 果 在 某 个 节点 上 以 单 引 擎 模式 (Single-Engine 
Mode) 安装 UCP， 则 该 节点 会 默认 切换 为 Swarm 模式 。 


安装 程序 拉 取 UCP 服 务 所 需 的 全 部 镜像 ， 并 完成 相应 容器 的 局 
动 。 下 面 列举 了 部 分 由 安装 程序 拉 取 的 镜像 。 


INF0[0008] Pulling required images... (this may take a while) 
INFO[Q008] Pulling docker/ucp-auth-store:2.2.5 

INFO[Q013] Pulling docker/ucp-hrm:2.2.5 

INFO[Q015] Pulling docker/ucp-metrics:2.2.5 

INFO[Q020] Pulling docker/ucp-swarm:2.2.5 

INF0[0023] Pulling docker/ucp-auth:2.2.5 

INFO[Q026] Pulling docker/ucp-etcd:2.2.5 


INFO[Q028] Pulling docker/ucp- 

INFO[Q030] Pulling docker/ucp- 

INFO[Q032] Pulling docker/ucp-dsinfo:2.2.5 
INFO[Q080] Pulling docker/ucp-controller:2.2.5 
INFO[Q084] Pulling docker/ucp-proxy:2.2.5 


部 分 比较 值得 关注 的 镜像 包括 以 下 几 点 。 


。Ucp-agent 这 是 UCP 核 心 代 理 。 该 代理 会 部 署 到 集群 的 全 部 节 
点 上 ， 用 于 确保 UCP 所 需 容 器 全 部 启动 并 运行 。 

。Uucp-etcd 集群 持久 化 键 值 对 存储 。 

。Uucp-auth 共享 鉴 权 服务 (在 DTR 的 单 点 登录 中 也 用 到 了 ) 。 

。 ucp-proxy 控制 对 本 地 Docker Socket 端 口 的 访问 ， 这 样 末 认证 
的 客户 端 束 不 能 擅自 筑 改 集群 了 。 

。 ucp-swarm 提供 对 底层 Swarm 的 适 配 。 


最 终 ， 安 装 程序 创建 了 一 对 根 CA: 一 个 用 于 集群 内 部 通信 ， 男 一 
个 用 于 外 部 访问 。CA 使 用 目 签 名 证 书 ， 这 对 于 实验 和 测试 环境 来 说 很 
好 ， 但 是 不 适用 于 生产 环境 。 
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e ca.pem: 可 信 CA 证 书 (通常 是 公司 内 部 CA) 

e cert.pem: UCP 的 公开 证 书 。 该 证 书包 含 了 全 部 被 授权 访问 集 
群 的 IP 地 址 和 DNS 名 称 ， 包 括 位 于 集群 之 前 的 负载 均衡 器 。 

e key.pem: UCP 的 私 钥 。 


如 果 已 经 有 了 上 述 文 件 ， 则 需要 将 其 挂 载 到 Dockerucp-controller- 
server-certs 卷 下 ， 并 且 使 用 --external-ca 参数 指定 卷 。 用 户 也 可 
以 在 安装 完成 后 ， 通 过 Web 界 面 中 的 管理 员 设 置 (Admin 
Setting) 页 面 来 修改 证 书 。 


UCP 安 灸 程序 输出 中 的 最 后 一 段 内 容 ， 束 古 访 问 所 用 的 URL。 


<Snip> 
INFO[0049] Login to UCP at https://<IP or DNS>:443 


通过 Web 浏 览 器 访问 该 地 址 并 且 登 录 。 如 果 使 用 自 签 名 证 书 ， 则 
需要 确认 浏览 器 的 告警 信息 。 同 时 还 需要 指定 许可 证 文件 ， 该 文件 可 
以 从 Docker 商 店 的 My Content 中 下 载 。 


登录 后 即 可 访问 UCP 管 理 面 板 ， 如 图 16.5 所 示 。 
到 目前 为 止 ， 一 个 单 点 登录 UCP 集 群 已 经 束 绪 。 


可 以 通过 管理 面板 底部 的 Add Nodes 链接 为 集群 添加 更 多 的 管 
HPAMLETA ° 


图 16.6 展 示 了 添加 和 点 的 界面 。 用 户 可 以 选择 添加 管理 节点 或 者 
工作 节点 ， 然 后 界面 中 就 会 给 出 对 应 的 命令 ， 在 待 添 加 节点 上 运行 即 
可 。 示 例 中 选择 添加 Linux 工 作 节点 。 注 意 ， 这 是 一 个 docker 
Swarm 命令 。 


添加 的 节点 会 加 入 Swarm 集群 ， 并 且 配 置 所 需 的 UCP 服 务 。 如 果 
添加 的 是 管理 万 点 ， 推 荐 在 连续 添加 之 间 稍 作 等 待 。 这 样 可 以 给 
Docker 留 出 下 载 并 运行 所 需 UCP 容 融 的 机 会 ， 同 时 也 允许 集群 注册 新 
的 管理 节点 并 达到 法 定 人 数 。 


新 加 入 的 管理 节点 会 自动 配置 到 高 可 用 (HA) 的 一 致 性 Raft 组 当 
中 ， 并 且 被 授权 可 以 访问 集群 存储 。 此 外 ， 虽 然 外 部 负载 均衡 器 通 稼 
不 被 认 作 UCP HA 的 核心 部 分 ， 但 其 本 号 对 外 提供 了 稳定 的 DNS 名 
PK, ERT Enma, MEN RET o 


图 16.5 ” UCP 管理 面板 


Node Type* 


WINDOWS E NUX | 
Node Role* 


MANAGER Kc 


| Use A Custom Listen Address 


|_| Use A Custom Advertise Address 


Add Node 


Nodes are added to the cluster by using Docker's 'swarm join' command. Use the following command on the engine you want to connect to the cluster 


docker swarm join --token SWMTKN-1-Qe6cj8p4@2htxiizxfgt757m9an1nzxxfhtqec1fooebjzqzh5- 


9f7c51t@xnrSdyw9ohdIin1507 34.242.196.63:2377 


图 16.6 


添加 下 点 的 界面 


用 户 需 要 为 443 端 口 的 TCP 透 传 配置 外 部 的 负载 均衡 器 ， 通 过 上 自 定 
义 的 HTTPS 心 跳 检 查 https://<ucp_man-ager>/_ping 确认 UCP 


管理 节 后 的 状态 。 


现在 一 个 工作 状态 的 UCP 已 经 搭建 完成 ， 可 以 通过 Admin 


Settings 页 面 查看 相关 选项 ， 


Swarm 

Certificates 

Routing Mesh 

Cluster Configuration | 
Authentication & Authorization 
Logs 

License 

Docker Trusted Registry 

Docker Content Trust 

Usage 


Scheduler 


Upgrade 


如 图 16.7 所 示 。 


Admin Settings 


Cluster Configuration 


Controller Port 


443 


Swarm Port 


2376 


Container Scheduling Strategy 


Spread 


External Service Load Balancer 


KV Store Timeout 


5000 


KV Store Snapshot Count 


20000 


图 16.7 通过 Admin Settings 页 面 查 看 相关 选项 


本 页 面 的 配置 信息 包含 了 大 部 分 的 UCP 后 侣 配置 信息 。 


3. UCP 的 访问 控制 


所 有 对 UCP 的 访问 ， 都 经 由 里 份 管 理子 系统 。 这 意味 着 用 户 在 集 
群 上 执行 任何 操作 前 ， 首 先 需 要 通过 用 户 名 和 密码 进行 认证 。 这 些 操 
作 包 括 集群 的 管理 ， 以 及 服务 的 部 署 和 管理 。 


用 户 使 用 UI 界面 的 时 候 已 经 体验 过 了 ， 必 须 使 用 用 户 名 和 密码 才 
能 登录 。 在 CLI 中 也 是 一 样 的 ， 用 户 不 能 在 未 登录 的 情况 下 通过 UCP 
执行 命令 ! 这 是 因为 UCP 集 群 中 本 地 Docker Socket 受 到 ucp-proxy fk 
务 的 保护 ， 不 会 接受 未 认证 命令 。 


4. 客户 端 绑 定 


每 个 运行 Docker CLI 的 三 点， 都 能 部 署 并 管理 UCP 集 群 的 工作 负 
载 ， 只 要 该 节点 存在 一 个 有 效 UCP 用 户 认 证 。 


本 节 中 会 创建 一 个 新 UCP 用 户 ， 新 建 并 下 载 该 用 户 的 绑 定 证 书 ， 
接着 创建 一 个 Docker 客 户 端 并 使 用 该 证 书 。 在 完成 上 述 步 骤 后 ， 会 解 
释 其 工作 原理 。 


(1) 如 果 还 没 就 绕 ， 则 以 管理 员 身 份 登录 UCP 。 
(2) 单 击 User Management > Users ,创建 一 个 新 用 户 。 
因为 还 未 讨论 角色 和 权限 相关 的 内 容 ， 所 以 将 用 户 设置 为 Docker EE 管 


HH e 


(3) 在 新 用 户 选 中 状态 下 ， 单 击 Configure 下 拉 框 ， 然 后 选择 
Client Bundle ， 如 图 16.8 所 示 。 


nigelpoulton 


Configure ^ Remove 


Details 


Name 


nigelpoulton Client Bundle in 
Full Name Default Collection 


Nigel Poulton Security 


Admin 


Yes 


图 16.8 选择 CLient Bundle 


(4) 单 击 Client Bundle + 链接， 生成 并 下 载 该 用 户 的 客户 
端 Bundle。 


此 时 需要 注意 ， 客 户 端 Bundle 是 与 用 户 相 关 的 。 因 此 ， 该 Bundle 
的 Docker 客 户 端 在 UCP 集 群 上 以 该 Bundle 所 属 用 户 的 
> 执行 命令 


(5) 复制 下 载 内 容 到 Docker 客 户 端 ， 该 客户 端 是 用 户 配 置 用 于 管 
理 UCP 的 。 


(6) 登录 客户 端 节 点， 执行 下 面 的 全 部 命令 。 
(7) 解压 缩 客户 端 绑 定 内 容 。 


$ unzip ucp-bundle-nigelpoulton.zip 
Archive: ucp-bundle-nigelpoulton.zip 
extracting: ca.pem 

extracting: cert.pem 

extracting: key.pem 


extracting: cert.pub 
extracting: env.sh 
extracting: env.psi 
extracting: env.cmd 


示例 使 用 Linux#‘Junzip 包 将 客户 端 绑 定 解压 缩 到 当前 目 永 。 需 要 
将 命令 中 客户 端 绑 定 的 名 称 替 换 为 自己 环境 中 的 名 称 。 


(8) 使 用 恰当 的 脚本 配置 Docker 客 户 端 。envsh 可 以 在 Linux 和 
Mac 上 使 用 ，envps 和 envcmd 可 以 在 Windows 上 使 用 ° 


运行 脚本 需要 管理 员 /root 权 限 。 
示例 在 Windows 和 Linux 上 均 可 以 执行 。 


$ eval "$(<env.sh)" 


此 时 ， 客 户 端 世 点 配置 已 经 完成 。 
(9) 测试 权限 。 


$ docker version 


<Snip> 


Server: 
Version: ucp/2.2.5 
API version: 1.30 (minimum version 1.20) 


Go version: go1.8.3 

Git commit: 42d28d140 

Built: Wed Jan 17 04:44:14 UTC 2018 
OS/Arch: linux/amd64 

Experimental: false 


注意 到 输出 中 的 Server 部 分 显示 其 版 本 为 ucp/2.2.5， 这 就 说 明 
Docker 客 户 端 已 经 成 功 连接 到 UCP 有 点 的 daemon 了 ° 


实际 上 ， 脚 本 共 配 置 了 3 个 环境 变量 : DOCKER_HOST ` 
DOCKER_TLS_VERIFY 和 DOCKER_CERT_PATH 。 


DOCKER_HOST 将 客户 端 指 癌 了 远 端 位 于 UCP 探 制 层 中 的 Docker 
daemon ° oe HOST=tcp://34.242.196.63:443 , AIL 
看 到 ， 是 通过 443 端 口 访问 的 。 


DOCKER_TLS_ VERIFY 设 置 为 1， 告 诉 客户 端 使 用 TLS 认 证 的 客 
户 端 模式 。 


DOCKER_CERT_PATH 告 诉 Docker 客 户 端 绑 定 证 书 的 具体 位 置 。 


最 终结 末 束 是 所 有 Docker 命令 都 会 在 客户 端 使 用 用 尸 证 书签 
名， 然后 经 由 网 络 发 送 到 远 端 的 UCP 管 理 世 点， 如 图 16.9 所 示 。 


UCP 管 理 节点 
a 
DOCKER_HOST C ann 
DOCKER_TLS_VERIFY=1 Lit il 
DOCKER_CERT_PATH 


daemon 


Pis LE UCP 代 理 


图 16.9 用 户 证 书签 名 被 发 送 到 远 端 的 UCP 管 理 节 点 


下 面 来 了 解 一 下 如 何 备 份 并 恢复 UCP 。 


5. UCP 备 份 


首先 并 且 最 重要 的 是 ， 高 可 用 (HA) 并 不 等 价 于 备份 ! 


思考 下 面 的 例子 。 有 一 个 包含 5 个 管理 节点 的 UCP 集 群 。 所 有 管理 
万 点 都 处 于 健康 状态 ， 并 且 探 制 平面 开局 了 复制 功能 。 某 个 心怀 怨恨 
的 员工 对 集群 进行 破坏 〈 或 者 删除 了 全 部 用 户 账户 ) 。 和 破坏 操 作 会 复 
制 到 全 部 5 个 管理 节点 ， 导 致 集群 锌 破 坏 。 这 种 场景 人 HA 没有 丝 至 帮 
助 。 此 时 需要 的 ， 是 备份 ! 


一 个 UCP 集 群 主要 由 3 个 部 分 构成 ， 也 是 需要 分 别 备份 的 内 容 : 
Swarm、UCP 和 Docker 可 信和 镜像 仓库 服务 (DTR) 


接 下 来 会 展示 如 何 完成 Swarm 和 UCP 的 备份 ， 有 关 DTR 备 份 的 内 
容 本 章 会 在 稍 后 进行 介绍 。 


虽然 UCP 位 于 Swarm 上层， 但 是 它们 是 互相 独立 的 。Swarm 维 护 
了 全 部 节点 关系、 网 络 以 及 服务 定义 。UCP 在 其 上 层 构 建 ， 维 护 目 己 
的 数据 库 和 卷 存 储 来 记录 用 户 、 组 、 授 权 、Bundle、 许 可 证 文件 、 认 


证 等 信息 。 
一 起 来 看 一 下 如 何 进 行 Swarm 备份 。 


Swarm 配 置 和 状态 保存 在 /var/l1ib/docker/swarm 中 ， 其 中 
包含 了 Raft 日 志 密 钥 ， 并 且 会 复制 到 每 个 管理 节点 。Swarm 备 份 就 是 
复制 该 日 录 下 的 所 有 文件 。 


因为 该 信息 会 复制 到 每 个 管理 节点 ， 所 以 用 户 可 以 在 任何 管理 季 
点 上 进行 备份 。 


备份 时 需要 在 待 执行 备份 操作 的 节点 上 停止 Docker。 这 意味 痢 在 
主管 理 世 点 上 执行 备份 操作 不 是 一 个 好 的 选择 ， 因 为 这 样 会 导致 重新 
选 主 。 执 行 备份 时 最 好 选择 在 业务 的 低 峰 期 进行 ， 虽 然 对 于 拥有 多 管 
理 世 点 的 Swarm 来 说 ， 俘 止 某 个 管理 节点 并 不 会 出 现 问题 ， 但 这 种 操 
A 出 现 高 可 用 有 效 市 点 数 不 足 

9 情况 o 


在 执行 备份 前 ， 创 建 一 些 Swarm 对 象 可 以 验证 备份 和 回访 操作 是 
否 确实 生效 了 。 示 例 中 待 备 份 的 Swarm， 拥 有 一 个 名 为 vantage-net 
的 覆盖 网 络 ， 以 及 名 为 vantage-svc 的 Swarm 服务 。 


(1) 停止 竺 备份 Swarm 管理 节点 上 的 Docker 。 这 样 会 停止 该 节点 
上 的 全 部 UCP 容 器 。 如 果 UCP 配 置 了 HA， 则 其 他 管理 节点 会 保证 控制 
平面 处 于 可 用 状态 。 


$ service docker stop 


(2) 备份 Swarm 配 置 。 示 例 使 用 Linux tar 工 具 来 执行 文件 复制 。 
可 随意 选择 其 他 工具 。 


$ tar -czvf swarm.bkp /var/lib/docker/swarm/ 
tar: Removing leading `/' from member names 
/var/1ib/docker/swarm/ 
/var/lib/docker/swarm/docker-state.json 


/var/1ib/docker/swarm/state.json 
<Snip> 


(3) 确认 备份 文件 存在 。 


$ 1s -1 
-rw-r--r-- 1 root root 450727 Jan 29 14:06 swarm.bkp 


备份 文件 的 保存 周期 需要 视 公司 具体 的 备份 策略 而 定 。 


(4) 重启 Docker ° 


$ service docker restart 


现在 Swarm 备份 完成 ， 是 时 候 备 份 UCP 了 。 
在 开始 UCP 备 份 前 ， 需 要 注意 如 下 几 点 。 


因为 UCP 备 份 任务 以 容 避 方式 运行 ， 所 以 如 果 想 进行 备份 ， 需 要 
Docker 保 持 运 行 状态 。 


可 以 在 集群 中 的 任意 一 台 UCP 管 理 节点 上 运行 备份 ， 并 且 只 需要 
在 一 个 节点 上 运行 即 可 (UCP 复制 功能 会 将 配置 信息 复制 到 全 部 管理 
节点 ， 所 以 没有 必要 备份 多 节点 ) 

对 UCP 进 行 备份 会 停止 所 在 管理 节点 上 的 全 部 UCP 容 器 。 在 该 前 
提 下 ， 备 份 操作 需要 运行 在 一 个 高 可 用 UCP 集 群 上 ， 并 且 最 好 是 在 业 


务 低 峰 期 运行 。 


目 始 至 终 ， 执 行 备份 的 管理 节点 上 的 用 户 工 作 人 负载 并 不 会 停止 。 
但 是 ， 并 不 建议 在 UCP 管 理科 点 上 执行 用 户 工 作 人 负载 。 


下 面 开 始 备份 UCP。 


_ 在 某 个 UCP 管 理 节点 上 执行 下 面 的 命令 。 该 节点 的 Docker 需 要 保 
持 运行 状态 。 


$ docker container run --log-driver none --rm -i --name ucp \ 
-v /var/run/docker.sock:/var/run/docker.sock \ 
docker/ucp:2.2.5 backup --interactive \ 


--passphrase "Password123" > ucp.bkp 


该 命令 很 长 ， 一 起 来 看 一 下 每 个 步 又 的 内 容 。 


第 一 行 是 标准 的 docker container run 命令 ， 让 Docker 运 行 
某 个 容器 ， 运 行 时 不 开启 日 志 ， 在 运行 结束 后 进行 删除 ， 同 时 调用 
ucp ; 第 二 行将 Docker socket 挂 载 到 容器 中 ， 这 样 容器 可 以 通过 访问 
Docker API 来 停止 运行 ， 第 三 行 是 告诉 Docker 在 容器 内 基于 docker/ 
ucp :2.2.5 镜像 运行 Dackup --interactive 命令 ， 最 后 一 行 创 


建 了 名 为 ucp .bkp 的 加 密 文 件 ， 并 且 用 密码 进行 安全 保护 。 
下 面 是 值得 注意 的 几 点 。 


指定 具体 的 UCP 镜 像 版 本 〈 标 签 ) 是 一 个 好 办 法 ， 示 例 中 指定 为 
docker/ucp:2.2.5。 这样 做 古 因为 进行 备份 和 恢复 操作 的 时 候 ， 
建议 使 用 相同 版 本 的 镜像 。 如 果 没有 显示 指定 镜像 版 本 ，Docker 会 默 
认 使 用 标签 为 latest 的 镜像 ， 这 可 能 导致 执行 备份 和 恢复 操作 时 镜 
RAAF TE AEF © 


每 次 备份 都 应 当 使 用 - - passphrase 来 保护 备份 内 容 ， 此 外 可 以 
改进 示例 中 的 密码 ， 使 其 对 用 户 更 加 友好 。 


建议 根据 用 户 的 备份 要 求 对 备份 文件 进行 目录 化 管理 ， 并 保存 一 
个 离线 备份 。 此 外 建议 配置 备份 计划 和 对 应 的 检查 任务 。 


现在 已 经 完成 了 Swarm 和 UCP 的 备份 ， 可 以 在 灾难 性 事件 发 生 后 
安全 地 进行 恢复 了 。 


6. 恢复 UCP 


在 介绍 恢复 UCP 之 前 ， 有 人 句 话 不 得 不 提前 说 明 : 从 备份 进行 恢复 
a 只 能 在 整个 集群 都 写 机 或 者 全 部 管理 节点 都 丢失 的 情 
{ ! 


如 果 HA 集 群 下 仅 丢 失 某 个 管理 节点 ， 并 不 需要 从 备份 进行 恢复 。 
该 情况 下 ， 很 容易 瑟 能 创建 狐 管 理 市 点 并 加 入 集群 。 


下 面 会 完 介绍 如 何 从 备份 恢复 Swarm， 人 然后 是 UCP。 
在 欲 恢复 的 Swarm/UCP 管 理 节 点 上 执行 下 面 的 任务 。 


(1) 停止 Docker。 


$ service docker stop 


(2) 删除 全 部 已 存在 的 Swarm 配置 。 


$ rm -r /var/lib/docker/swarm 


(3) 从 Swarm 备份 中 恢复 配置 信息 。 


示例 中 使 用 了 名 为 swarm .bkp 的 压缩 文件 ， 格 式 为 tar 。 该 命 
令 需 要 指定 恢复 到 根 目 录 下 ， 因 为 备份 文件 解压 为 原始 文件 的 操作 中 
会 包含 全 路 径 信息 。 读 者 环境 可 能 略 有 不 同 。 


$ tar -zxvf swarm.bkp -C / 


(4) 初始 化 新 的 Swarm 集群 。 


切记 ， 当 前 执行 的 操作 并 不 是 恢复 某 个 节点 然后 重新 加 入 集群 。 
该 操作 是 恢复 一 个 不 可 用 的 Swarm 集群 ， 其 中 不 包含 任何 存活 的 管理 
节点 。--force-new-cluster 参数 告诉 Docker 创 建新 集群 ， 使 用 的 
配置 保存 在 当前 节点 /var/ib/docker/swarm 目 录 下 。 


$ docker swarm init --force-new-cluster 
Swarm initialized: current node (jhsg...319h) is now a manager. 


(5) 检查 网 络 和 服务 是 恢复 操作 中 的 一 部 分 


$ docker network ls 
NETWORK ID NAME DRIVER SCOPE 
snkqjyOchtd5 vantage-net overlay swarm 


$ docker service ls 
ID NAME MODE REPLICAS IMAGE 


w9dimu8jfrze vantage - svc replicated 5/5 alpine:latest 


茶 喜 。Swarm 集 群 完成 恢复 。 
(6) 为 Swarm 集群 增加 新 的 管理 节点 和 工作 和 点 ， 并 刷新 备份 。 
在 恢复 Swarm 之 后 ， 可 以 恢复 UCP 。 


在 示例 中 ，UCP 备 份 到 了 当前 目录 下 名 为 ucp.bkp 的 文件 中 。 虽 然 
文件 名 是 备份 文件 ， 但 其 本 质 是 一 个 Linux 打 包工 具 。 


在 欲 恢复 UCP 的 节点 上 执行 下 面 的 命令 。 该 节点 可 以 是 刚刚 执行 
Swarm 恢复 操作 的 和 点 。 


(1) 删除 已 经 存在 并 且 可 能 裔 演 的 UCP 安 装 。 


$ docker container run --rm -it --name ucp \ 
-v /var/run/docker.sock:/var/run/docker.sock \ 
docker/ucp:2.2.5 uninstall-ucp --interactive 


INF0[0000] Your engine version 17.06.2-ee-6, build e75fdb8 is 
compatible 

INFO[0000] We're about to uninstall from this swarm cluster. 

Do you want to proceed with the uninstall? (y/n): y 

INFO[Q000] Uninstalling UCP on each node... 

INFO[Q@009] UCP has been removed from this cluster successfully. 
INFO[0011] Removing UCP Services 


(2) 从 备份 中 恢复 UCP ° 


$ docker container run --rm -i --name ucp \ 
-v /var/run/docker.sock:/var/run/docker.sock \ 
docker/ucp:2.2.5 restore --passphrase "Password123" < ucp.bkp 


INF0[0000] Your engine version 17.06.2-ee-6, build e75fdb8 is 
compatible 


<Snip> 

time="2018-01-30T10:16:29Z" level=info msg="Parsing backup file" 
time="2018-01-30T10:16:38Z" level=info msg="Deploying UCP Agent 
Service" 

time="2018-01-30T10:17:18Z" level=info msg="Cluster successfully 
restored. 


(3) 登录 UCP Web 界 面 ， 确 认 之 前 创建 的 用 户 还 存在 (或 者 是 任 
何 之 前 环境 中 存在 的 UCP 对 象 ) 。 


茶 喜 。 现 在 已 经 知道 了 如 何 备份 并 恢复 Docker Swarm 以 及 Docker 
UCP ° 


接 下 来 将 目光 转移 到 Docker 可 信和 镜像 仓库 服务 。 


16.2.3 ”Docker 可 信和 镜像 仓库 服务 (DTR) 


Docker 可 信和 镜像 仓库 服务 ， 是 安全 、 高 可 用 并 且 支 持 本 地 部 署 的 
Docker 服 务 ， 通 常 使 用 DTR 代 指 。 如 果 知 道 Docker Hub 是 什么 ， 可 以 
将 DTR 理 解 为 私有 的 Docker Hub， 可 以 在 本 地 部 署 ， 并 且 自 行 管理 。 
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如 采 条 件 允 许 ， 使 用 专用 节点 来 运行 DTR。 在 DTR 生 产 环境 节点 
中 绝对 不 要 运行 用 户 工 作 负 载 。 


在 UCP 中 ， 需 要 运行 奇数 个 DTR 实 例 。3 个 或 者 5 个 实例 有 较 好 的 
容错 性 。 生 产 环 境 下 的 推荐 配置 如 下 。 
。 3 个 专用 UCP 管 理 节点 。 
。3 个 专用 DTR 实 例 。 
。 按 应 用 需求 增加 工作 节点 。 


接 下 来 会 在 单个 节点 上 完成 DTR 的 安装 和 配置 。 


1. 安装 DTR 


在 UCP 集 群 中 配置 首 个 DTR 实 例 包 括 下 面 几 个 步骤 。 


为 了 完成 下 面 步 又， 需要 一 个 用 于 安装 DTR 的 UCP 和 点 和 一 个 监 
听 443 端 口 的 负载 均衡 ， 并 处 于 TCP 透 传 模 式 ， 同 时 在 443 端 口 开启 
了 /health 健康 检查 。 图 16.10 展 示 了 完整 架构 图 。 


配置 负载 均衡 磺 超 出 了 本 书 范围 ， 但 是 多 中 展示 了 与 DTR 相 关 配 
置 中 重要 的 部 分 。 


(1) 登录 UCP Web 界 面 ， 单 击 Admin > Admin Settings > 
Docker Trusted Registry ° 


(2) 填写 DTR 配 置 表 ° 


。DTR 外 部 URL (DTR EXTERNAL URL) : 设置 外 部 负载 均衡 器 
的 URL 。 
。 UCP (UCP NODE) : 选择 希望 安装 DTR 的 节点 名 称 。 


负载 均衡 : dtr.mydns.com:443 
目标 : 健康 检查 : 
https://dtr1:443 https://dtr1/health:443 


T 


UCP HA 
Mgr/wrkr 


S 外 部 共享 对 象 存储 


图 16.10 ”DTR 完 整 架构 


。 禁用 UCP 的 TLS 认 证 (Disable TLS Verification For 
UCP) : 如 果 使 用 自 签 名 证 书 ， 勾 选 该 复 选 框 。 


(3) 复制 表格 底部 的 长 命令 。 


(4) 将 命令 粘贴 到 UCP 管 理 节点 。 


命令 中 包含 --ucp-node ， 告 诉 UCP 需 要 执行 该 命令 的 具体 三 


下 面 示 例 中 的 DTR 安 闭 命 令 与 图 16. 10 中 和 配置 相位。 示例 中 假设 
当前 已 经 在 dtr.mydns.com 配 置 了 负载 均衡 器 


$ docker run -it --rm docker/dtr install \ 
--dtr-external-url dtr.mydns.com \ 
--ucp-node dtrí \ 


--ucp-url https://34.252.195.122 \ 
--ucp-username admin --ucp-insecure-tls 


(5) 一旦 安装 完成 ， 就 可 以 通过 浏览 器 访问 负载 均衡 器 。 访 问 后 
会 自动 登录 DTR， 如 图 16.11 所 示 。 


DTR 已 经 应 用 ， 但 尚未 为 其 配置 HA。 


2. 为 DTR 配 置 高 可 用 


配置 多 副本 的 高 可 用 DTR 依 赖 共享 存储 。 共 享 存 储 可 以 是 NFS 或 
者 对 象 存储 ， 可 以 本 地 部 署 或 者 在 公有 云 上 部 署 。 下 面 的 步骤 中 会 采 
FA Amazon S3 Bucket 作 为 共享 存储 来 完成 高 可 用 DTR 配 置 。 


(1) 登录 DTR 控 制 台 ， 进 入 Settings 。 
(2) 选择 存储 (Storage ) 标签 页 ， 并 配置 共享 存储 。 


图 16.12 展 示 了 如 何 将 位 于 eu-west-1 可 用 域 中 名 为 deep- 
dive-dtr 的 AWS S3 bucket 存 储 配 置 为 DTR 的 共享 存储 。 读 者 在 本 地 
不 能 使 用 该 存储 。 


A Not secure ， https ://dtr.mydns.com na 回 
ë docker trusted registry & admin ` 


Repositories 


& Repositories 


New repository 


You have no repositories... 
make one now! 


图 16.11 ”自动 登录 DTR 


Eğ docker trusted registry 


STORAGE 


STORAGE TYPE 


æ Filesystem 
= NFS, bind mount, volume 


CLOUD STORAGE PROVIDER 


a Amazon $3 Eg Microsoft Azure OpenStack Swift © Google Cloud Storage 


REDIRECT CLIENTS ON PUSH AND PULL © E 


S3 settings 


AWS REGION NAME V | S3 BUCKET NAME @ t 


| eu-west-1 deep-dive-dtr 
AWS ACCESS KEY @ 


| AKIAJSLS7E72U67VTLEQ 


AWS SECRET KEY @ | 


图 16.12 用 于 AWS 的 DTR 共 享 存储 配置 
DTR 现 在 配置 了 共享 存储 ， 可 以 开始 增加 额外 的 副本 了 。 


(1) 在 UCP 集 群 管理 节点 运行 下 面 命令 。 


$ docker run -it --rm \ 
docker/dtr:2.4.1 join \ 
--ucp-node dtr2 \ 


--existing-replica-id 47f20fb864cf \ 
--ucp-insecure-tls 


--ucp-node 参数 指定 了 命令 创建 新 DTR 副 本 所 在 的 节点 。 如 果 
使 用 目 签 名 证 书 ， 必 须 指 定 --ijnsecure-tls 参数 。 


O 读 关 需 要 天 换 示例 中 的 镜像 版 本 和 副本 ID。 副 本 ID 在 初始 化 安 泌 
副本 的 输出 内 容 中 可 以 找到 。 


(2) 按 提示 输入 UCP URL、 端 口 以 及 管理 员 证 书 。 
添加 成 功 后 ， 会 看 到 如 下 信息 。 


INFO[0166] Join is complete 

INFO[0166] Replica ID is set to: a6a628053157 

INFO[0166] There are currently 2 replicas in your DTR cluster 
INF0[0166] You have an even number of replicas which can impact 


availability 
INFO[Q166] It is recommended that you have 3, 5 or 7 replicas in 
your cluster 
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el 这 样 流量 可 以 发 送 到 新 的 副 


DTR 现 在 已 经 配置 了 HA， 这 意味 着 现在 某 个 副本 宕 机 不 会 影响 服 
务 可 用 性 。 图 16.13 展 示 了 高 可 用 DTR 配 置 。 


负载 均衡 : dtr .mydns .com:443 


示 ERRE: 
https://dtr1/health 


https://dtr1:443 


- 
r 


A 


| DTR 副 本 1 


| DTR cluster 


二 进 制 镜像 存储 
(外 部 共享 对 象 存储 ) 


图 16.13 ”高 可 用 DTR 配 置 
需要 注意 ， 当 前 负载 均衡 器 会 向 全 部 3 个 DTR 副 本 发 送 流量 ， 也 会 

对 全 部 3 个 节点 执行 健康 检查 。 全 部 3 个 DTR 副 本 共享 同一 个 外 部 存 

储 。 


在 图 中 ， 人 负载 均衡 器 和 共 译 存储 部 是 第 三 方 产 品 ， 按 照 单 太 部署 
进行 展示 ( 非 高 可 用 ) 。 为 了 保证 整体 环境 的 高 可 用 ， 建 议 确认 这 些 
产品 都 支持 高 可 用 ， 并 且 对 其 内 容 和 配置 信息 进行 备份 (例如 保证 负 
载 均衡 器 和 存储 系统 原生 支持 高 可 用 ， 并 且 配 置 了 备份 策略 ) 


3. 备份 DTR 


因为 使 用 了 UCP 的 缘故 ，DTR 目 市 backup 命令 ， 属 于 安装 DTR 
所 用 镜像 的 一 部 分 。 该 备份 命令 会 将 分 散 于 多 个 卷 的 DTR 配 置信 息 进 
行 备 份 ， 包 括 以 下 几 种 。 


DTR 配 置 。 
仓库 原生 信息 。 
公证 信息 。 
证 书 。 


DTR 目 带 备 份 并 不 支持 对 镜像 的 备份 功能 。 通 常 镜像 保存 在 高 可 
用 的 存储 后 端 ， 依 赖 非 Docker 工 具 执 行 自己 独立 的 备份 计划 。 


在 UCP 管 理 世 点 执行 下 面 命令 对 DTR 进 行 备 份 。 


$ read -Sp 'ucp password: ' UCP_PASSWORD; \ 
docker run --log-driver none -i --rm \ 
--env UCP_PASSWORD=$UCP_PASSWORD \ 
docker/dtr:2.4.1 backup \ 


--ucp-insecure-tls \ 
--ucp-username admin \ 
> ucp.bkp 


解释 一 下 该 命令 部 做 了 什么 。 


read 命令 会 提示 用 户 输 入 UCP 管 理 账户 的 密码 ， 并 保存 到 
UCP_PASSWORD 变量 当中 ; 第 二 行 告 诉 Docker 局 动 新 的 临时 容器 来 执 
行 备份 操作 ;第 三 行将 UCP 密 码 设 置 为 容器 的 环境 变量 ， 第 四 行 执行 
了 备份 命令 ， 第 五 行使 用 自 签名 证 书 保证 命令 可 执行 ， 第 六 行 设置 
UCP 用 户 名 为 “admin”; 最 后 一 行 指 定 备 份 文件 为 当前 目录 下 的 
ucp.bkp ° 


按照 提示 输入 UCP URL 和 副本 ID。 该 信息 也 可 以 在 备份 命令 中 指 
定 ， 只 不 过 本 书 并 不 想 解释 一 个 长 达 9 行 的 命令 ! 


备份 结束 后 ， 会 在 当前 工作 目 孙 下 莉 增 一 个 名 为 ucp.bkp 的 文 
件 。 该 文件 应 当 按照 公司 的 备份 策略 ， 由 公司 备份 工具 进行 统一 管 
理 。 


4. 从 备份 恢复 DTR 


从 备份 恢复 DTR 是 下 寅 ， 只 有 副本 都 宕 机 ， 并 且 没 有 其 他 方式 恢 
复 时 才 可 以 竹 试 。 在 只 是 单 副 本 宕 机 ， 其 他 副本 仍然 可 用 的 情况 下 ， 
应 当 使 用 dtr join 命令 增加 新 的 副本 。 

如 有 果 确 定 需 要 从 副本 恢复 ， 步 又 如 下 。 

(1) 停止 并 删除 DTR 节 点 (可 能 已 经 停止 )。 


(2) 恢复 共享 存储 中 的 镜像 (可 能 不 需 该 步 又 ) 。 


(3) 恢复 DTR。 


在 准备 恢复 DTR 的 节点 上 执行 下 面 的 命令 。 当 然 该 节点 必须 是 要 
恢复 的 DTR 所 在 UCP 和 集群 中 的 一 员 。 在 恢复 时 需要 使 用 与 创建 备份 相 
同 版 本 的 docker/dtr 镜像 。 


(1) 停止 并 删除 DTR ° 


$ docker run -it --rm \ 
docker/dtr:2.4.1 destroy \ 
--ucp-insecure-tls 


INFO[Q000] Beginning Docker Trusted Registry replica destroy 
ucp-url (The UCP URL including domain and port): 
https://34.252.195.122:443 

ucp-username (The UCP administrator username): admin 
ucp-password: 

INFO[Q020] Validating UCP cert 

INFO[0020] Connecting to UCP 

INFO[0021] Searching containers in UCP for DTR replicas 
INFO[0023] This cluster contains the replicas: 47f20fb864cf 
a6a628053157 

Choose a replica to destroy [47f20fb864cf]: 

INFO[0030] Force removing replica 

INFO[0030] Stopping containers 

INFO[0035] Removing containers 

INFO[0045] Removing volumes 

INFO[0047] Replica removed. 


按 提示 输入 UCP URL ` 管理 证 书 以 及 要 删除 的 副本 ID 。 

如 果 有 多 副本 ， 可 以 多 次 运行 该 命令 来 删除 。 

(2) 如 果 镜 像 在 共享 存储 中 丢失 ， 需 要 首先 恢复 镜像 。 该 步 内 容 
超出 了 本 书 所 介绍 的 范围 ， 需 要 视 后 端 共享 存储 类 型 而 定 。 

(3) 使 用 下 面 的 命令 恢复 DTR。 

需要 将 第 5 行 与 第 6 行 中 的 内 容 替 换 为 本 地 环境 的 值 。 不 入 的 是 ， 
因为 restore 命令 不 支持 交互 式 ， 所 以 当 restore 命令 开始 执行 
后 ， 没 有 提示 输入 前 面 的 内 容 。 


人 


$ read -sp 'ucp password: ' UCP_PASSWORD; \ 
docker run -i --rm \ 


--env UCP_PASSWORD=$UCP_PASSWORD \ 
docker/dtr:2.4.1 restore \ 
--ucp-url <ENTER_YOUR_ucp-url> \ 


--ucp-node <ENTER_DTR_NODE_hostname> \ 
--ucp-insecure-tls \ 

--ucp-username admin \ 

< ucp.bkp 


DTR 现 在 已 经 恢复 。 
已 


WE o MERE 


经 了 解 如 何 备份 并 恢复 Swarm、UCP 以 及 
DTR ° 


在 本 章 圆满 结束 前 ， 只 剩 下 一 件 事 : 网 络 端口 ! 


UCP 管 理 节 点 、 工 作 节 点 以 及 DTR 节 点 需要 通过 网 络 互 相通 信 
图 16.14 总 结 了 端口 需求 。 


o 


DTR 负 载 均衡 器 


UCP 负 载 均衡 器 


应 用 负载 均衡 器 


目标 : ! Health check: 
https://replica:443 | | <url>/health 


t 


目标 ; | | Health check: 
https://replica:443_ | | <url>/_ping 
UCP cluster (H/A) 4789/udp | 
| 7946/udp | 
| 7946/tcp 
—— 


| 443/tep 
i 443/tep _ 


| 2377/tep | 
https:// | 4789/udp | 


| 7946/tep | 
UCP 内 部 : | 7946/udp | 
| TCP: 443, 2376, 2377, 4789, | 433/tcp 


7946, 12376-12387 


443/tcp 


图 16.14 ”UCP 和 集群 网 络 端 口 需求 


16.3 ”本 章 小 结 


Docker 企 业 版 (Docker Enterprise Edition, EE) 是 一 款 面向 企业 
的 容 姻 及 服务 平台 产品 。Docker EE 由 上 百 个 Docker 引 警 、 一 个 可 视 化 
界面 以 及 安全 服务 等 部 分 组 成 。 所 有 组 件 都 可 以 实现 本 地 化 部 署 ， 并 
且 进 行 自主 管理 。Docker EE 还 包括 一 份 支持 协议 。 


Docker 统 一 控制 平台 (UCP) 为 传统 企业 运 维 团 队 提供 一 个 简单 
易 用 的 Web UI 界面 。UCP 支 持原 生 高 可 用 (HA) 并 且 提 供 了 相应 的 备 
份 和 恢复 工具 。 一 旦 启动 并 运行 ，UCP 就 会 提供 全 套 的 企业 级 功能 ， 
在 下 一 章 会 继续 讨论 。 

Docker 可 信和 镜像 仓库 服务 (DTR) 基于 UCP 构 建 ， 并 提供 高 可 用 


的 安全 服务 。 与 UCP 一 样 ，DTR 也 文 持 本 地 化 部 署 ， 同 样 位 于 企业 “ 防 
火 墙 ” 保 护 之 内 ， 同 时 还 提供 了 备份 和 恢复 工具 。 


第 17 章 ”企业 级 特性 


本 章 承 接 第 16 章 的 内 容 ， 主 要 涉及 Docker 通 用 控制 平面 和 Docker 
可 信和 镜像 仓库 服务 提供 的 企业 级 特性 。 


本 革 将 假设 读者 已 经 阅读 了 第 16 间 的 内 容 ， 并 且 了 人 解 如 何 安装 和 
配置 它们 ， 以 及 如 何 执行 备份 和 恢复 操作 。 


17.1 企业 级 特性 一 一 简介 


企业 希望 使 用 Docker 和 容器 ， 但 它们 需要 整套 打包 、 有 完备 支持 
的 真正 意义 上 的 企业 应 用 。 它 们 还 需要 诸如 基于 角色 的 权限 控制 
(Role-Based Access Control, RBAC) 以 及 与 类 似 活 动 目录 (Active 
Directory) 的 企业 目录 服务 的 集成 。 这 时 就 需要 企业 版 Docker 出 马 
To 


企业 版 Docker 是 一 个 强化 版 本 ， 包 含 Docker 引 警 、 运 维 界 面 、 安 
全 镜像 库 以 及 一 系列 面向 企 业 的 特性 。 它 可 以 被 部 署 在 私有 云 或 公有 
云 上 ， 用 户 可 自行 管理 ， 并 会 获取 一 份 支持 协议 。 

综 上 ， 企 业 版 Docker 是 一 套 可 以 部 署 在 企业 上 自 有 的 安全 的 数据 中 
心 上 的 容器 即 服务 (Container- as-a-Service) 平台 。 


17.2 ”企业 级 特性 一 一 详解 


本 世 内 容 将 分 为 如 下 几 个 方面 。 


基于 角色 的 权限 控制 (RBAC) 。 

集成 活动 目录 。 

Docker 内 容 信任 机 制 (DCT) 。 

配置 Docker 可 信和 镜像 仓库 服务 (DTR) 。 
使 用 Docker 可 信和 镜像 仓库 服务 。 

镜像 提升 。 

HTTP 路 由 网 格 (HRM) 。 


17.2.1 ”基于 角色 的 权限 控制 (RBAC) 


我 在 最 近 10 年 职业 生涯 中 的 大 部 分 时 光 从 事 的 是 财务 服务 部 门 的 
IT 运营 。 在 我 工作 的 大 多 数 环境 中 ， 基 于 角色 的 权限 控制 (RBAC) 
和 对 活动 目录 (AD) 的 集成 都 是 必须 的 。 因 此 ， 如 果 想 销售 不 包含 这 
两 个 特性 的 产品 ， 用 户 通 常 是 不 买账 的 ! 幸运 的 是 ，Docker EE 具备 
这 两 个 特性 。 这 一 和 移 讨 论 RBAC 。 


UCP 通 过 一 种 称 为 授权 (Grant) 的 东西 实现 了 RBAC。 大 体 上 ， 
一 个 授权 有 以 下 3 个 概念 构成 。 


e +k (Subject) ° 
。 角 色 (Role) ° 


e WA (Collection) ° 


主体 即 一 个 或 多 个 用 户 ， 或 一 个 团队 。 角 色 十 一 系列 权限 的 组 
合 ， 而 集合 则 是 权限 作用 的 资源 ， 如 图 17.1 所 示 。 


角色 


Mae 
+ v 创建 
gus 


图 17.1 授权 


如 图 17.2 所 示 ，SRT 团队 具有 对 /zones/dev/srt 集合 中 所 有 资 
源 的 container-full-control 权限。 


谁 ， 拥 有 什么 权限 ， 对 哪些 资源 


图 17.2 SRT 团队 的 权限 
创建 一 个 授权 包含 如 下 步骤 。 

(1) 创建 用 户 和 团队 。 

(2) 创建 一 个 自 定 义 的 角色 。 

(3) 创建 一 个 集合 。 

(4) 创建 一 个 授权 。 


只 有 UCP 管 理 员 才 可 以 创建 和 管理 用 户 、 团 队 、 和 角色 、 和 集合 和 授 
权 。 因 此 读者 需要 以 UCP 管 理 员 的 身份 登录 才能 进行 下 面 的 操作 。 


1. 创建 用 户 和 团队 


将 用 户 置 于 团队 中 进行 组 管理 ， 然 后 为 团队 分 配 授 权 是 一 种 最 佳 
实践 。 当 然 也 可 以 为 单独 的 用 户 分 配 授 权 ， 但 并 不 推荐 。 下 面 创建 一 
些 用 户 和 团队 。 


(1) 登录 到 UCP ° 


(2) 展开 User Management (用 户 管理 ) ， 然 后 单 击 Users 
(AP) 。 这 里 可 以 创建 用 户 。 


(3) 单 击 0rganization & Teams (组 织 & 团 队 ) 。 这 里 可 以 
创建 组 织 。 在 本 例 后 续 的 步骤 中 ， 将 会 使 用 一 个 称 
为 “manufacturing ”的 组 织 。 


(4) 单 击 manufacturing 组 织 ， 并 创建 一 个 团队 。 团 队 存在 
a PA a a 
| 组 织 o 


(5) 向 团队 中 添加 用 户 。 添 加 用 户 时 ， 单 击 进入 团队 ， 然 后 选择 
Actions (操作 ) 菜单 中 的 Add Users (添加 用 户 ) 。 图 17.3 显 示 了 如 
何 向 manufacturing 组 织 中 的 SRT 团 队 添加 用 户 。 


All Orgs / manufacturin g / All Teams / SRT SRT 


图 17.3” 往 团队 中 添加 用 户 


现在 已 经 有 用 户 和 团队 了 。UCP 会 向 DTR 共 享 其 用 户 数 据 库 ， 
此 在 UCP 中 创建 的 用 户 和 团队 在 DTR 中 也 是 可 见 的 。 


2. 创建 一 个 自 定义 的 角色 


目 定义 的 角色 是 很 强大 的 ， 它 提供 了 非常 细 粒 度 的 权限 分 配 机 
制 。 下 面 将 创建 一 个 名 为 secret-opt 的 新 的 目 定 义 角 色 ， 该 角色 人 允许 被 
分 配 的 主体 创建 、 删 除 、 更 新 、 使 用 和 查看 Docker 窗 钥 。 


(1) 展开 左 侧 导航 栏 中 的 User Management 页 签 ， 然 后 选择 
Roles (fff) 。 


(2) 创建 一 个 新 角色 。 


(3) 给 角色 命名 。 本 例会 创建 一 个 名 为 “secret -opts ”的 目 定 
义 角 色 ， 并 放 开 所 有 与 密 钥 相关 的 操作 权限 。 


(4) 选择 SECRET OPERATIONS ( 密 钥 选项 ) 并 浏览 可 分 配给 
角色 的 操作 项 列表 。 列 表 较 长 ， 可 以 用 来 指定 具体 的 某 个 操作 项 。 


(5) 选择 希望 分 配给 角色 的 API 操 作 。 本 例 中 ， 分 配 所 有 与 密 钥 
相 天 的 API 控 作 ， 如 图 17.4 所 示 。 


SECRET OPERATIONS 


w| All Secret operations ^ 


| Secret Create 
v| Secret Delete 
WwW Secret Update 


v Secret Use 


v Secret View 


图 17.4 分配 API 操 作 权 限 给 自 定义 角色 
(6) 单 击 Create (创建 ) 。 
这 个 角色 已 经 在 系统 中 创建 好 ， 并 可 以 被 分 配给 多 个 授权 。 下 面 


创建 一 个 集合 。 


3. 创建 一 个 集合 


通过 第 16 章 的 介绍 ， 读 者 已 经 了 解 了 网 络 、 卷 、 密 钥 、 服 务 以 及 
节点 都 是 Swarm 资 源 它们 保存 在 Swarm 配置 文 
件 /var/1ib/docker/swarm。 使 用 集合 可 以 根据 组 织 架 构 和 IT 需 
要 来 对 资源 进行 分 组 。 例 如 ，IT 基 础 架构 可 能 会 分 为 3 个 域 (zone) : 
prod、test 和 dev“。 这 种 情况 下 ， 就 可 以 创建 3 个 集合 ， 然 后 分 别 
分 配 资源 ， 如 图 17.5 所 示 。 


E = 
= i i II S S v 
oo MM OS | E wow 
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每 一 个 资源 只 可 以 存在 于 某 一 个 集合 中 


下 面 ， 创 建 一 个 新 的 名 为 zones/dev/srt 的 资源 ， 然 后 给 它 分 
配 一 个 密 钥 。 集 合 是 支持 层次 结构 的 ， 因 此 本 例 中 应 依次 创建 3 个 藤 套 
的 集合 : zones > dev > srt ° 

在 Docker UCP Web 界 面 中 进行 如 下 操作 。 


(1) 在 左 侧 导 航 栏 中 选择 Collections (#4) ， 然 后 选择 
Create Collection (创建 集合 ) 


(2) 创建 名 为 zones 的 根 集合 。 
(3) 单 击 /zones 集合 的 View Children (查看 子 集 合 ) 
(4) 创建 一 个 名 为 dev 的 内 骸 子 集合 。 


(5) 单 击 /zones/dev 集合 的 View Children (查看 子 集 


n> 


(6) 创建 名 为 srt 的 子 集 合 。 


到 此 为 止 ，/zones/dev/srt 集 合 就 创建 好 了 。 然 而 ， 它 还 是 空 的 。 
下 面 将 为 其 添加 一 个 密 钥 。 


(1) 创建 一 个 新 的 密 钥 。 读 者 可 以 用 命令 行 或 UCP Web 界 面 创建 
它 。 这 里 介绍 Web 界 面 的 方式 。 在 UCP Web 界 面 单 击 Secrets > 
Create Secret (AEZH) 。 填 写 名 称 等 信息 ， 然 后 单 击 Save 
。 在 创建 密 钥 的 同时 也 可 以 为 其 配置 集合 ， 但 是 这 里 并 不 这 样 操作 。 

(2) 在 UCP Web 界 面 中 选择 该 密 钥 。 

(3) 在 Configure (配置 ) 下 拉 荣 单 中 单 击 ColLection ° 


(4) 依次 进入 View Children 层次 结构 并 最 终 选 
#£/zones/dev/srt ， 然 后 单 击 Save 。 


现在 该 密 钥 已 属于 /zones/dev/srt 集合 ， 并 且 无 法 再 加 入 其 


在 创建 授权 之 前 ， 关 于 集合 还 有 一 点 需要 注意 。 集 合 采 用 的 是 层 
次 结构 ， 适 用 于 某 集 合 的 权限 同样 适用 于 其 子 集合 。 如 图 17.6 所 示 ， 
dev 团队 具有 对 /zones/dev 集合 的 权限 ， 因 此 ， 该 团队 自动 具有 
srt »hellcat 和 daemon 子 集 合 的 权限 。 


m /zones 
mm 
ita dev 
长 
中 srt 
hellcat 
v daemon 


图 17.6 ”集合 层次 结构 


4. 创建 一 个 授权 


现在 有 用 户 、 团 队 、 自 定义 角色 和 集合， 可 以 创建 授权 了 。 本 例 
会 为 srt-dev 团队 创建 一 个 授权 ， 该 授权 对 /zones/dev/srt 集合 
中 的 所 有 资源 拥有 自 定义 角色 secret-ops 的 权限 。 


授权 即 配 置 谁 ， 对 哪些 资源 ， 拥 有 什么 权限 ， 如 图 17.7 所 示 。 


Ze] + (ae + | 


谁 什么 权限 哪些 资源 


图 17.7 ”授权 的 含义 


(1) 在 左 侧 导 航 栏 展 开 User Management 页 签 ， 然后 单 击 
Grant (授权 ) 。 


(2) 创建 一 个 新 的 授权 。 
(3) 单 击 Subject (ES) ， 然 后 选择 manufacturing 组 织 


下 的 SRT 团 队 。 也 可 以 选择 整个 组 织 。 这 样 的 话 ， 组 织 中 的 所 有 团队 
都 会 被 包 合 在 该 授权 中 。 


(4) 单 击 Role ， 然 后 选择 自 定 义 的 secret -ops 角色 。 


(5) 单 击 Collections ， 然 后 选择 /zones/dev/srt 集合 。 
此 时 可 能 需要 在 顶级 Swarm 集合 下 查找 子 集合 /zones 。 


(6) 单 击 Save 来 创建 授权 。 


现在 授权 已 经 创建 好 了 ， 在 系统 的 所 有 授权 的 列表 中 可 以 找到 
它 ， 如 图 17.8 所 示 。manufacturing/SRT 团队 中 的 所 有 用 户 都 有 权 
对 /zones/dev/srt 集合 中 的 资源 进行 与 密 钥 相关 的 操作 © 


授权 生效 后 仍然 可 以 进行 修改 。 例 如 ， 可 以 添加 用 户 到 团队 或 添 
加 资源 到 集合 。 但 是 无 法 修改 分 配给 角色 的 API 操 作 。 当 想 要 修改 和 角 
色 中 的 权限 时 ， 需 要 创建 一 个 新 的 配置 有 所 需 权限 的 角色 。 


/Shared/Private/admin 


/zones /dev/srt 


谁 ， 拥 有 什么 权限 ， 对 哪些 资源 


图 17.8 创建 的 授权 


5. 节点 RBAC 


这 十 最 后 一 点 关于 RBAC 的 介绍 。 为 了 调度 将 集群 中 的 工作 节 抬 
进行 分 组 是 可 行 的 。 例 如 ， 有 时 会 为 开发 、 测 试 和 QA 人 负载 运行 一 个 集 
群 一 一 用 一 个 集群 可 能 会 减少 管理 开销 ， 并 且 可 以 轻松 地 将 节点 分 配 
给 3 个 不 同 的 环境 。 但 此 时 仍然 希望 能 够 对 工作 节点 进行 区 分 ， 从 而 实 
oo 团队 的 用 户 才 可 以 对 dev 集合 中 的 节点 进行 调度 的 效 


这 同样 可 以 基于 授权 来 实现 。 首 先 ， 需 要 将 UCP 工 作 和 点 分 配给 
目 定义 的 集合 。 然 后 ， 基 于 该 集合 、 内 置 的 Scheduler 角色 以 及 布 
望 为 其 分 配 权 限 的 团队 ， 来 创建 授权 。 


图 17.9 中 所 示 的 简单 示例 表示 人 允许 dev 团队 中 的 成 员 将 服务 和 容 
器 调度 到 /zones/dev 集合 中 的 工作 节点 。 


谁 ， 拥 有 什么 权限 ， 对 哪些 资源 


图 17.9 ”市 点 RBAC 


现在 读者 已 经 了 解 如 何在 Docker UCP 中 实现 RBAC 了 ° 


17.2.2 ”集成 活动 目录 


与 所 有 优秀 的 企业 级 工具 一 样 ，UCP 能 够 与 活动 目录 及 其 他 
ee H 录 服 务 进行 集成 ， 从 而 利用 组 织 中 现 有 的 单 点 登录 系统 中 的 
I 组 。 


在 开始 更 加 深入 的 介绍 之 前 ， 请 务必 与 负责 组 织 目 好 服 务 的 团队 
讨论 AD/LDAP 的 集成 方案 。 让 他 们 从 集成 之 初 束 参与 进来 ， 从 而 使 得 
集成 方案 的 制定 和 实施 尽 可 能 顺利 进行 。 


UCP 的 用 户 和 组 的 数据 存储 在 一 个 本 地 数据 库 中 ， 从 而 使 DTR 能 
够 “ 开 箱 即 用 ”地 直接 利用 这 一 点 来 实现 单 点 登录 (SSO) 。UCP 的 认 
证 作用 于 本 地 所 有 的 访问 请 求 ， 因 此 登录 到 DTR 时 并 不 需要 再 输入 一 
遍 UCP 的 登录 信息 了 。 不 过 ，UCP 管 理 员 可 以 通过 对 UCP 进 行 配 置 ， 
以 便利 用 现 有 存储 在 AD 或 其 他 LDAP 目 录 服 务 中 的 企业 用 户 账户 一 一 
从 而 将 账户 管理 和 身份 认证 工作 交 给 现 有 团队 或 服务 。 

下 面 将 介绍 如 何 配 置 UCP， 来 利用 AD 的 用 户 账号 。 总 体 来 说 ， 其 
过 程 在 于 让 UCP 在 一 个 指定 的 目录 中 搜索 用 户 账号 ， 并 将 其 复制 到 
UCP 中 。 再 次 强调 ， 以 下 操作 请 与 目录 服务 团队 合作 完成 。 


让 我 们 开始 吧 。 


(1) 展开 左 侧 导 航 栏 的 Admin (管理 ) 下 拉 菜 单 ， 然 后 选择 
Admin Settings (管理 设置 ) 。 


(2) 选择 Authentication & Authorization (认证 & 授 
权 ) ， 并 在 LDAP Enabled (启用 LDAP 标题 下 单 击 Yes 。 


(3) 配置 LDAP 服 务 器 设置 。 总 体 来 说 ，LDAP Server Settings 
(LDAP 服 务 设置 ) 可 以 理解 为 到 哪里 去 搜索 。 也 就 是 ， 到 哪个 目录 
中 去 查询 用 户 账号 。 
这 里 填写 的 内 容 以 读者 的 实际 环境 为 准 。 


LDAP Server URL (LDAP 服 务 嚣 URL) 指 域 中 要 去 搜索 账户 的 
LDAP 服 务 器 。 例 如 ad ,mycompany .internal 。 


Reader DN 和 Reader Password 是 在 目录 中 有 搜索 权限 的 用 户 信 息 。 
该 账户 必须 是 在 目录 中 存在 且 可 信和 的 。 最 好 的 实践 方式 是 使 用 对 日 孙 
具有 只 读 权 限 的 账户 。 


也 可 以 单 击 Add LDAP Domain + 按钮 来 添加 额外 的 搜索 域 。 
一 个 搜索 域 都 需要 提供 其 LDAP Server URL 和 Reader account ° 


(4) 设置 LDAP 用 户 搜 索 配置 项 。 如 果 说 LDAP Server 
Settings 是 到 哪里 去 搜索 那么 LDAP User Search 
Configuration (LDAP 用 户 搜索 配置 ) 就 是 搜索 什么 。 


e BaseDN: 指 在 哪个 LDAP 市 点 中 开始 搜索 。 


e UserName Attribute : 指 会 被 用 于 UCP 中 用 户 名 的 LDAP 属 性 。 


。 Full Name Attribute : 指 会 被 对 应 到 UCP 中 用 户 全 名 的 LDAP 属 


其 他 高 级 设置 请 查看 文档 。 当 然 ， 在 配置 与 LDAP 集 成 的 时 候 还 
应 咨询 目录 服务 团队 。 


(5) 一 旦 完成 了 LDAP 的 配置 ，UCP 会 在 LDAP 搜 索 匹 配 的 用 
户 ， 并 在 UCP 的 用 户 数 据 库 创 建 它 们 。 之 后 ，UCP 会 根据 在 Sync 


Interval (Hours) (同步 周期 (小 时 ， ) 的 设置 进行 周期 性 的 同 


如 果 勾 选 Just-In-Time User Provisioning (即时 用 户 置 
备 ) 复 选 框 ，UCP 会 将 创建 用 户 的 操作 延迟 到 该 用 户 第 一 次 登录 时 进 
行 。 


(6) 在 单 击 Save 前 ， 尽 量 在 LDAP Test Login (LDAP 登 录 
测试 ) 下 进行 登录 测试 。 


在 进行 登录 测试 时 需要 使 用 所 配置 的 LDAP 系 统 中 的 账户 。 该 测 
ee ( 待 保 存 的 LDAP 配 置 ) 。 请 在 测试 成 功 后 
TEE ° 


(7) 保存 配置 。 


此 时 ，UCP 会 搜索 LDAP 系 统 ， 并 创建 能 够 匹配 Base DN 以 及 其 他 
配置 的 账户 。 


在 集成 LDAP 之 前 创建 的 账户 依然 存在 于 系统 中 ， 并 且 依 然 可 


17.2.3 ”Docker 内 容 信 任 机 制 (DCT) 


在 现代 IT 世 界 中 ， 信 任 很 重要 ， 而 且 会 变 得 越 来 越 重 要 。 玉 运 的 
是 ，Docker 通 过 一 种 称 为 Docker 内 容 信 任 (Docker Content Trust, 
DCT) 的 功能 来 实现 信任 机 制 。 


总 体 来 说 ，Docker 镜 像 的 发 布 音 可 以 在 将 镜像 推送 到 库 中 时 对 其 
进行 签名 。 使 用 者 可 以 在 拉 取 镜像 时 进行 校 验 ， 或 进行 构建 或 运行 等 
操作 。 长 话 短 说 ，DCT 确 保 使 用 者 能 够 得 到 他 们 想 要 的 镜像 。 


图 17.10 展 示 了 其 总 体 架 构 。 


镜像 仓库 服务 


图 17.10 DCT 总体 架构 


CT 实现 的 是 客户 端的 签名 和 验证 ， 意 味 着 由 Docker 客 户 端 执行 


y 


它们 


显然 ， 类 似 这 样 的 密码 机 制 ， 对 于 确保 在 互联 网 上 拉 取 和 推送 的 
软件 的 可 信和 性 是 非常 重要 的 ， 其 在 整个 技术 栈 的 各 个 层次 ， 以 及 软件 
交付 流水 线 的 各 个 环节 都 在 发 挥 越 来 越 重要 的 作用 。 在 不 久 的 将 来 ， 
这 种 加 密 信 任 机 制 将 有 望 在 交付 链 的 各 个 方面 发 挥 作 用 。 


下 面 通过 一 个 人 简单 的 配置 DCT 的 实战 例子 予以 阐述 。 读 者 需要 一 
个 Docker 客 户 端 和 一 个 用 来 推送 镜像 的 库 ，Docker Hub 上 的 镜像 库 即 


可 。 


DCT 可 以 通过 环境 变量 DOCKER_CONTENT_TRUST 来 启用 或 关 
闭 。 将 该 环境 变量 的 值 设置 为 “1 的 话 将 会 在 当前 会 话 开 启 DCT; 将 其 
设置 为 其 他 值 的 话 则 会 关闭 DCT 。 下 面 的 命令 用 于 在 Linux 主 机 的 
Docker 中 开局 DCT。 


$ export DOCKER_CONTENT_TRUST=1 


后 续 的 docker push 命令 会 在 推送 镜像 时 目 动 对 镜像 进行 签 
名 。 因 此 ， 所 有 的 pul1 ` build 和 run 命令 只 会 对 已 签名 的 镜像 起 
作用 。 


下 面 将 镜像 打 一 个 新 的 标签 (Tag) 并 推送 到 镜像 库 。 


被 推送 的 镜像 可 以 是 任意 镜像 。 本 例 中 使 用 的 是 刚刚 拉 取 的 
alpine:latest 镜像 ， 因 此 并 非 是 目 己 的 签名 。 


(1) 对 镜像 打 标签 ， 从 而 可 以 将 其 n. 目标 镜像 库 。 本 例 中 ， 
会 将 其 推送 到 位 于 我 Docker Hub 个 人 账户 命名 空间 下 的 镜像 库 。 


$ docker image tag alpine:latest nigelpoulton/dockerbook:v1i 


(2) 登录 到 Docker Hub (或 其 他 镜像 库 ) 以 便 推 送 镜像 。 


$ docker login 
Login with your Docker ID to push and pull images from Docker Hub. 
Username: nigelpoulton 


Password: 
Login Succeeded 


(3) 推送 打 了 新 标签 的 镜像 。 


$ docker image push nigelpoulton/dockerbook:v1i 
The push refers to a repository 

[docker .io0/nigelpoulton/dockerbook] 
cd7100a72410: Mounted from library/alpine 

vi: digest: sha256:8c03...acbc size: 528 
Signing and pushing trust metadata 

<Snip> 


Enter passphrase for new root key with ID 865e4ec: 

Repeat passphrase for new root key with ID 865e4ec: 

Enter passphrase for new repository key with ID bd0d97d: 
Repeat passphrase for new repository key with ID bd0d97d: 
Finished initializing "docker.io/nigelpoulton/sign" 
Successfully signed "docker.io/nigelpoulton/sign":v1 


在 开局 DCT 的 情况 下 ， 该 镜像 会 在 推送 时 目 动 被 签名 。 在 签名 时 
会 创建 两 个 密 钥 。 


。 根 密 钥 (Root key) 。 
。 库 密 钥 (Repository key) ° 


默认 情况 下 ， 两 个 密 钥 被 保存 在 家 目 孙 下 的 隐藏 目 永 ,docker 
下 。 在 Linux 系 统 中 为 ~/ ,docker/trust 。 


REH 是 主 密 钥 (一 定 程度 上 ) 。 它 用 于 创建 和 签名 新 的 库 密 
铀 ， 因 此 应 该 被 妥善 保管 。 这 意味 着 ， 用 户 需 要 使 用 强 密码 予以 保 
护 ， 并 且 在 不 使 用 它 的 时 候 对 其 离线 保存 。 一 旦 掉以轻心 ， 难 免 会 有 
后 悔 之 时 。 a in P, 每 个 用 户 应 该 仅 有 一 个 密 钥 ， 甚 至 一 个 团队 
或 组 织 仅 有 一 个 密 钥 。 并 且 通 常情 况 下 仅 用 它 来 创建 新 的 库 密 钥 。 


库 密 钥 也 被 称 为 标签 密 钥 ， 用 于 对 需要 推送 到 指定 镜像 库 的 打 标 

签 的 镜像 进行 签名 。 因 此 ， 每 个 镜像 库 配备 一 个 库 密 铀 。 如 果 密 钥 遗 

来 说 容易 恢复 ， 但 是 仍然 应 该 使 用 强 密码 进行 保护 ， 并 有 善 
子 o 


每 次 推送 镜像 到 一 个 新 镜像 库 ， 都 会 创建 一 个 新 的 镜像 库 标 签 
钥 ， 这 需要 使 用 根 密 钥 ， 因 此 需要 和 输入 根 密 钥 的 密码 。 earl 
这 个 镜像 库 时 仅 需要 输入 镜像 库 标签 密 钥 的 密码 。 


此 外 ， 还 有 一 个 名 为 时 间 戳 密 铀 (TijmeStamp key) 的 密 钥 。 
ee 中 ， 用 于 一 些 更 加 高 级 的 使 用 场景 以 确保 时 效 


下 面 看 一 下 如 何在 开局 DCT 的 情况 下 拉 取 镜像 。 


在 开启 DCT 的 Docker 主 机 上 执行 以 下 命令 ， 来 拉 取 一 个 未 打 标 和 
JEA o 


$ docker image pull nigelpoulton/dockerbook:unsigned 
Error: trust data does not exist for 


docker .io/nigelpoulton/dockerbook: 


notary.docker.io no trust data for 


docker .io/nigelpoulton/dockerbook 


有 时 候 错 误 新 消息 是 No trust data for unsigned ° 


可 见 ，Docker 会 因为 镜像 未 签名 而 拒绝 下 载 。 同 样 的 ， 如 有 宁 符 试 
oe FN Ei OR TY ET Et RGA TT Bas, tha te BOA EaTR ° 
wf = 


在 拉 取 镜像 时 使 用 - -disable-content-trust 来 覆盖 DCT 设 


$ docker image pull --disable-content-trust 
nigelpoulton/dockerbook: unsigned 


现在 尝试 基于 未 签名 的 镜像 运行 容器 。 


$ docker container run -d --rm nigelpoulton/dockerbook: unsigned 
docker: No trust data for unsigned. 


可 见 Docker 内 容 信 任 机 制 会 作用 于 push 、pull 和 run 操作 ， 下 
UT build 操作 看 该 机 制 是 否 起 作用 。 


Docker UCP 同 样 文 持 DCT， 从 而 可 以 在 UCP 范 围 内 进行 签名 策略 
的 设置 。 如 果 要 对 整个 UCP 启 用 DCT， 请 展开 Admin FAKA, a 
单 击 Admin Settings ， 选 择 Docker Content Trust 选项 ， 然 
后 义 选 Run Only Signed Images ( 仅 运 行 签名 镜像 ) BE ° X 
会 对 整个 集群 落实 签名 策略 ， 并 且 仅 允许 使 用 签名 的 镜像 部 署 服 务 。 


默认 配置 下 ， 任 何 被 UCP 有 效用 户 符 名 的 镜像 都 是 可 以 使 用 的 。 
用 尸 也 可 以 选择 性 地 配置 某 些 团队 具有 为 镜像 签名 的 权限 。 


以 上 束 是 Docker 内 容 信 任 机 制 的 基础 内 容 。 下 面 介绍 Docker 可 信 
镜像 仓库 服务 (Docker Trusted Registry, DTR) 的 配置 和 使 用 。 


17.2.4 ”配置 Docker 可 信和 镜像 仓库 服务 (DTR) 


本 书 前 面 的 革 市 介绍 了 如 何 安装 DTR、 如 何 将 其 接 入 后 端 共 至 存 
储 、 如 何 配 置 高 可 用 以 及 如 何 使 DCP 和 DTR 共 享 一 个 公共 的 单 点 登录 
子 系 统 。 但 仍然 有 一 些 重要 的 配置 未 涉及 ， 下 面 予 以 介绍 。 


大 多 数 的 DTR 配 置 项 可 在 DTR Web 界 面 的 Settings (设置 ) 页 
中 进行 设置 。 


在 General GHA) 页 签 中 可 以 配置 以 下 内 容 。 
目 动 更 新 设置 。 

许可 。 

负载 均衡 地 址 。 

证 书 。 

单 点 登录 。 


使 用 Domains & proxies ( 域 & 代 理 ) 下 的 TLS Settings 
(TLS 设 置 ) 可 以 修改 UCP 使 用 的 证 书 。 默 认 情况 下 ，DTR 使 用 自 签 
名 证 书 ， 但 是 用 户 可 以 在 该 页 面 配 置 自 定义 的 证 书 。 


Storage (存储 ) 页 签 用 来 配置 镜像 存储 所 使 用 的 后 端 存 储 。 
这 一 点 在 第 16 章 配置 共享 的 Amazon S3 后 端 存 储 用 于 DTR 高 可 用 的 时 
候 介 绍 过 。 其 他 存储 相关 的 选项 包括 其 他 云 服 务 提 供 商 的 对 象 存储 服 
务 ， 以 及 卷 和 共享 NFS 的 配置 。 


Security (安全 ) 页 签 用 于 开启 或 关闭 镜像 扫描 (Image 
Scanning) 一 一 采用 二 进 制 级 别 的 扫描 来 查找 镜像 中 的 缺陷 。 在 开启 
镜像 扫描 的 和 清 况 下 ， 用 户 可 以 选择 基于 在 线 (online) 或 离线 

(offline) 方式 来 更 新 缺陷 库 。 在 线 方式 会 自动 通过 互联 网 同步 数据 
PR 用 于 无 法 接 入 互联 网 的 DTR 实 例 ， 通 过 手动 更 新 数 
TOK Te Be ° 


天 于 镜像 扫 摘 的 更 多 信息 请 见 第 15 章 。 


， 但 同样 重要 的 一 点 是 Garbage Collection (垃圾 回 
收 ) 当 镜 像 库 中 的 镜像 层 不 再 被 引用 时 ，DTR 会 对 这 些 镜像 层 
进行 垃圾 回收 ， 该 页 签 用 于 进行 与 之 相关 的 配置 。 默 认 情 况 下 ， 不 被 
引用 的 镜像 层 不 会 被 回收 ， 从 而 会 导致 磁盘 空间 的 良 费 。 如 果 启 用 垃 
圾 回收 ， 不 被 任何 镜像 引用 的 镜像 层 便 会 被 删除 ， 而 被 至 少 一 个 镜像 
引用 的 镜像 层 不 会 被 删除 。 


天 于 镜像 及 其 如 何 引 用 镜像 层 的 更 多 内 容 ， 请 见 第 6 章 


天 于 DTR 的 配置 束 介 绍 这 些 ， 下 面 看 一 下 如 何 使 用 DTR ° 


17.2.5 “使 用 Docker 可 信和 镜像 仓库 服务 
Docker 可 信和 镜像 服务 是 一 种 安全 的 、 和 上 自行 配置 和 管理 的 私有 镜像 
库 。 它 被 集成 在 UCP 以 达到 良好 的 开 箱 即 用 的 使 用 体验 。 


本 世 将 会 介绍 如 何 从 DTR 推 送 和 拉 取 镜像 ， 以 及 如 何 使 用 DTR 
Web 界 面 来 得 看 和 管理 镜像 库 。 


1. 登录 到 DTR 界 面 并 创建 镜像 库 及 权限 


下 面 登 录 到 DTR， 并 创建 一 个 新 的 镜像 库 ， 该 库 对 所 有 的 
technology/devs 团队 的 成 员 开 放 推 送 和 拉 取 镜像 的 权限 。 


登录 到 DTR。DTR 的 URL 可 以 在 UCP Web 界 面 的 Admin > 
Admin Settings > Docker Trusted Registry 下 找到 。 注 
意 ，DTR Web 界 面 可 以 通过 端口 443 的 HTTPS 访 问 。 


创建 一 个 新 的 组 织 和 团队 ， 然 后 添加 一 个 用 户 。 本 例 将 创建 一 个 
名 为 technology 的 组 织 、 一 个 名 为 devs 的 团队 和 一 个 名 为 
nigelpoulton 的 用 户 。 读 者 请 根据 具体 情况 自行 调整 。 


(1) 单 击 左 侧 导 航 栏 的 0rganizations (组 织 ) 。 


(2) 单 击 New Organization (新 建 组 织 ) 并 命名 为 
technology ° 


(3) 选择 新 创建 的 technology 组 织 ， 并 单 击 TEAMS (组 织 ) 
旁 的 + 按钮 ， 如 图 17.11 所 示 。 


docker trusted registry 


Organizations > technology 


MEMBERS REPOSITORIES 


technology 


Org Members 


i E i 
图 17.11 单 击 TEAMS (组 织 ) 旁 的 + 按钮 
(4) 在 选择 devs 团队 的 情况 下 ， 添 加 一 个 用 户 。 


本 例会 添加 名 为 nigelpoulton 的 用 户 ， 读 者 环境 中 的 用 户 名 会 
不 同 。 


DTR 中 对 组 织 和 团队 的 修改 也 会 反映 在 UCP 中 ， 因 为 它们 共 至 账 
号 数据 库 。 


接 下 来 创建 一 个 新 的 镜像 库 ， 并 添加 technology/devs 团队 的 
读 / 写 权限 。 


在 DTR Web 界 面 中 进行 如 下 操作 。 


。 进 入 Organizations > technology > devs ° 
e 选择 Repositories (Æ) 页 签 ， 并 创建 一 个 新 的 镜像 库 。 
。 对 镜像 库 进 行 如 下 配置 。 


在 technology 组 织 下 创建 的 新 镜像 库 命名 为 ttst。 将 其 配置 为 公 
FF (Public) ， 开 启 推送 时 扫描 (SCAN ON PUSH) ， 并 分 配 读 / 写 
(Read-write) 权限 。 具 体 配置 如 图 17.12 所 示 。 


图 17.12 ”创建 一 个 新 的 DTR 镜 像 库 


(4) 保存 修改 。 
恭喜 ! 读者 在 DTR 上 已 经 有 一 个 名 为 <dtr-url>/technology 


的 镜像 库 了 ，techno1logy/vdevs 团队 对 其 有 读 / 写 权限 ， 因 此 他 们 可 
以 对 其 进行 push 和 pu11 操作 。 


2. 推送 镜像 到 DTR 库 
本 节 将 演示 如 何 推送 一 个 新 镜像 到 刚刚 创建 的 镜像 库 。 具 体 通过 
以 下 几 个 步 又 来 完成 。 
(1) 拉 取 一 个 镜像 并 从 新 打 标 签 。 
(2) 为 客户 端 配 置 一 组 证 书 。 
(3) 推送 打 了 新 标签 的 镜像 到 DTR 库 。 
(4) 在 DTR Web 界 面 中 检查 操作 过 程 。 
首先 拉 取 一 个 镜像 ， 并 为 其 打 标 签 ， 以 便 能 够 推送 到 DTR 仓 库 。 
a a 。 本 例 使 用 的 是 alpine :1latest 镜像 ， 因 为 


$ docker pull alpine:latest 
latest: Pulling from library/alpine 
ff3a5c916c92: Pull complete 


Digest: sha256:7df6...b1c0 
Status: Downloaded newer image for 


alpine:latest 


为 了 推送 一 个 镜像 到 一 个 具体 的 仓库 ， 需 要 将 镜像 用 库 的 名 称 打 


标签 。 本 例 中 ，DTR 库 的 全 限定 名 为 
dtr.mydns.com/technology/test 。 这 个 名 字 是 由 DTR 的 DNS 
域名 与 镜像 库 的 名 称 组 合 得 到 的 。 读 者 的 会 有 差异 。 


为 该 镜像 打 标 签 ， 以 便 能 够 推送 到 DTR 库 。 


$ docker image tag alpine:latest dtr.mydns.com/technology/test:v1i 


下 一 步 就 是 要 配置 Docker 客 户 端 ， 使 其 用 对 该 库 有 读 / 写 权限 的 组 
内 的 用 户 来 认证 。 总 体 来 说 就 是 为 该 用 户 创建 一 组 证 书 ， 并 配置 
Docker 客 户 端 使 用 这 些 证 书 。 
(1) 以 管理 员 身 份 登录 UCP， 或 使 用 有 读 / 写 权限 的 用 户 登 录 。 
(2) 导航 到 目标 用 户 账号 ， 然 后 创建 一 个 client bundle e 
(3) 复制 Bundle 文 件 到 需要 进行 配置 的 Docker 客 户 端 。 
(4) 登录 到 Docker 客 户 端 ， 并 执行 以 下 命令 。 
(5) 解压 Bundle， 并 执行 Shell 脚 本 来 进行 配置 。 
以 下 命令 可 用 于 Mac 和 Linux 。 


$ eval "$(<env.sh)" 


(6) 执行 docker version 命令 以 确定 环境 配置 和 证 书 配置 是 
TEH ° 


如 果 输 出 内 容 的 Server 部 分 显示 Version Aucp/x.x.x, M 
表示 已 经 正确 配置 。 这 是 因为 Shell 脚 本 对 Docker 客 户 端 进行 了 配置 ， 


使 其 连接 到 UCP Manager 上 的 一 个 远 端 daemon。 并 且 还 会 令 Docker 客 
户 端 使 用 证 书 对 所 有 的 命令 进行 签名 。 


接 下 来 登录 到 DTR。 读 者 的 DTR URL 和 用 户 名 会 有 差异 。 


$ docker login dtr.mydns.com 
Username: nigelpoulton 


Password: 
Login Succeeded 


现在 可 以 推送 打 标 签 的 镜像 到 DTRJ 了 。 


$ docker image push dtr.mydns.com/technology/test:vi 
The push refers to a repository [dtr.mydns.com/technology/test ] 
cd7100a72410: Pushed 


vi: digest: sha256:8c03...acbc size: 528 


可 见 推送 操作 是 成 功 的 ， 下 面 在 DTR 的 Web 界 面 中 进行 确认 。 
(1) 先 登 录 到 DTR 的 Web 界 面 。 
(2) 单 击 左 侧 导航 栏 中 的 Repositories 。 


(3) 单 击 technology/test 库 的 View Details (查看 细 


(4) 单 击 IMAGES (镜像 页 签 。 


DTR 库 中 的 镜像 如 图 17.13 所 示 。 可 见 图 中 镜像 为 基于 Linux 的 镜 
像 ， 它 有 3 个 主要 缺陷 。 缺 陷 信 息 的 出 现 是 由 于 之 前 对 镜像 库 中 新 推送 
的 镜像 开启 了 缺陷 扫描 。 


局 ) technology/test 


Test for Docker Deep Dive book 


图 17.13 ”DTR 库 中 的 镜像 


茶 喜 。 读 者 现在 已 经 成 功 地 将 镜像 推送 到 DTR 上 的 新 镜像 库 中 。 
这 时 可 以 通过 勾 选 镜像 左 侧 的 复 迁 框 来 删除 它 。 由 于 删除 操作 古 不 可 
朔 的 ， 因 此 一 定 要 谨慎 操作 。 


17.2.6 ”提升 镜像 


DTR 还 有 两 个 有 意思 的 特性 。 


。 镜像 提升 (Image Promotion) ° 
。 不 可 变 镜像 库 。 


利用 镜像 提升 功能 可 以 构建 一 条 基于 一 定 策略 的 目 动 化 流水 线 ， 
它 能 够 通过 同一 个 DTR 中 的 多 个 镜像 库 实 现 镜像 握 升 。 


举例 说 明 ， 开 发 者 可 能 会 推送 一 些 镜像 到 名 为 base 的 镜像 库 ， 
但 并 不 希望 他 们 直接 将 镜像 推送 到 生产 库 ， 因 为 镜像 中 可 能 会 有 缺 
陷 。 这 种 情况 下 ， 可 以 利用 DTR 为 base 库 配 置 一 定 的 策略 ， 该 策略 
会 扫描 所 有 推送 上 来 的 镜像 ， 并 根据 扫描 结 打 将 其 升级 到 其 他 库 中 。 
如 果 扫 摘出 问题 ， 束 将 镜像 握 升 到 隔离 库 ， 如 有 果 通 过 扫 摘 检查 ， 则 提 
升 到 QA 或 生产 库 。 镜 像 在 流水 线 中 转移 时 ， 甚 至 可 以 重新 打 标签 。 


下 面 通 过 实战 予以 介绍 。 
下 面 的 例子 所 使 用 的 DTR 有 3 个 镜像 库 : base `good 和 bad 。 


good 和 bad 库 是 空 的 ， 但 是 base 库 中 有 两 个 镜像 ， 如 图 17.14 
所 示 。 


&), technology/base 
7 Base repo for developers to push to 


IMAGES 


v2 | /amd64 @ 8c03bb07a5 3 major 
回 bie & nigelpoulton 9 J 
加 从 /amd64 @ 8862634f1c ; @ Clean 
s & nigelpoulton 


图 17.14 base 库 中 有 两 个 镜像 


由 图 可 见 ， 两 个 镜像 都 完成 了 扫描 ，v1 没有 问题 ， 但 是 v2 有 3 个 
大 问题 。 


下 面 对 base 库 创 建 两 个 策略 ， 将 扫描 没有 问题 的 镜像 提升 到 
good 库 ， 而 将 有 缺陷 的 镜像 则 提升 至 bad 库 。 


以 下 操作 全 部 在 base 库 完 成 。 


(1) 单 击 Policies (策略 ) 页 签 ， 并 确保 Is source (是 源 
镜像 ) 为 选择 状态 。 


(2) 单 击 New promotion policy (新 建 提升 策略 ) 。 


(3) 在 PROMOTE TO TARGET IF... (提升 到 目标 ， 如 
果 ......) 下 ,选择 AL1 Vulnerabilities (所 有 缺陷 ) ， 并 创建 
一 个 equals 0 (等 于 0) 的 策略 ， 如 图 17.15 所 示 。 


这 样 会 创建 一 个 针对 所 有 无 缺陷 镜像 的 策略 。 在 进入 下 一 步 之 前 
不 要 忘 了 单 击 Add (添加 ) 按钮 。 


(4) 对 于 TARGET REPOSITORY (目标 库 ) 选择 
technology/good ， 并 单 击 Save & Apply (保存 并 生效 ) 。 仅 
单 击 Save 会 使 得 策略 对 镜像 库 及 后 续 推 送 来 的 新 镜像 生效 ， 但 不 会 


影响 库 中 现存 的 镜像 。Save & Apply 可 达到 同样 效果 ， 不 过 对 于 库 
中 现存 的 镜像 也 会 生效 。 如 果 单 击 了 Save & Apply ， 该 策略 会 立 
即 检查 库 中 的 所 有 镜像 ， 并 提升 无 缺陷 的 镜像 。 因 此 v1 镜 像 会 被 提升 
#technology/good JÆ ° 


PROMOTE TO TARGET IF... 


All Vulnerabilities 
) greater than or equals 


greater than 


图 17.15 ”创建 一 个 equal 0 (等 于 0) 的 策略 


(5) 查看 techonology/good 库 。 如 图 17.16 所 示 ，vVv1 镜像 已 
经 被 提升 ， 并 且 在 界面 中 显示 为 PROMOTED (已 提升 ) 。 


局 ) technology/good 


Repo for images with **no** known vulnerabilities 


GpRoMoTED >= = Në /amd64 @ 8862634fic En 
Ea A A & nigelpoulton 9 


图 17.16 vi 镜像 已 经 被 提升 


提升 策略 已 经 起 作用 。 下 面 创 建 另 一 个 策略 ， 用 于 将 有 问题 的 镜 
像 提升 至 technology/bad 库 。 


在 technology/base 库 执 行 如 下 操作 。 
(1) 创建 另 一 个 新 的 提升 策略 。 


(2) 该 策略 的 条 件 设置 为 ALL Vulnerabilities greater 
than © (缺陷 数 >0) ， 并 单 击 Add ， 如 图 17.17 所 示 。 


PROMOTE TO TARGET IF... 


All Vulnerabilities 


greater than 0 


Add filter 


图 17.17 条件 设置 为 对 AL1 Vulnerabilities > 0 


(3) 将 technology/bad 添加 为 目标 库 ， 并 且 对 TAG NAME 
IN TARGET 添加 “-dirty”"， 标 签名 为 “%n-dirty”"， 在 提升 的 同时 会 对 镜 
像 打 标签 。 如 图 17.18 所 示 。 


(4) 单 击 Save&Apply 。 


(5) 检查 technology/bad 库 ， 确 认 策 略 正在 执行 ，v2 镜 像 提 
升 并 重新 打 标 签 。 


&y, technology/good 


IMAGES 


图 17.18 ”标签 名 即 为 “v2-dirty” 
现在 无 缺陷 的 镜像 已 经 被 提升 到 technology/good 库 ， 如 果 将 
这 个 库 设 置 为 不 可 变 的 话 是 一 个 好 主意 ， 这 样 能 够 避免 镜像 被 覆盖 或 
删除 。 
(1) 进入 technology/good 库 ， 并 单 击 Settings 页 签 。 


(2) 设置 IMMUTABILITY 为 On ， 并 单 击 Save 。 


(3) 尝试 删除 镜像 。 会 看 到 如 图 17.19 所 示 的 错误 © 


Tags can't be deleted because this x 


repository is immutable. To delete 
tags, change the repository settings. 


117.19 ”删除 镜像 出 现 的 错误 


下 面 是 最 后 一 个 特性 的 介绍 。 


17.2.7 HTTP 路 由 网 格 (HRM) 


Docker Swarm 内 置 有 四 层 路 由 网 格 的 功能 ， 称 为 Swarm 路 由 网 格 
(Swarm Routing Mesh) 。 这 一 功能 可 以 使 Swarm 服务 骏 露 给 集群 中 
的 所 有 节点 ， 并 且 能 够 在 服务 的 各 个 副本 之 间 实 现 对 入 站 流量 的 负载 

均衡 。 其 效果 就 是 可 以 基本 实现 流量 均衡 到 达 服 务 的 所 有 副本 。 不 
过 ， 该 负载 均衡 并 不 作用 于 应 用 层 。 例 如 ， 它 无 法 根据 HTTP 头 部 数据 
进行 七 层 路 由 。 为 了 弥补 这 一 点 ，UCP 实 现 了 七 层 路 由 网 格 ， 称 为 
HTTP 路 由 网 格 (HTTP Routing Mesh, HRM) 。 这 一 功能 以 Swarm 路 
由 网 格 为 基础 。 


HRM 使 得 多 个 Swarm 服务 可 以 发 布 在 同一 个 Swarm 端口 上 ， 并 根 
据 HITP 请 求 头 中 的 主机 名 将 流量 路 由 到 正确 的 服务 中 。 


图 17.20 展 示 的 是 包含 两 个 服务 的 简单 示例 。 


ice 


camero.internal = camero.servic 


mustang :80 :80 
mustang.internal camero.internal 


图 17.20 ”包含 两 个 服务 的 HRM 操 作 


在 图 17.20 中 ， 笔 记 本 客户 端 向 mustang ,internal 的 80 端 口 发 
出 了 一 个 HTTP 请 求 。UCP 集 群 中 有 两 个 监听 80 端 口 的 服务 。 
mustang 服务 在 80 端 口 监听 发 送 给 mustang. internal 主机 的 流 
量 。camero 服务 也 监听 80 端 口 ， 不 过 它 被 配置 为 接收 到 达 
camero.internal 的 流量 。 


其 实 还 有 第 三 个 称 为 HRM 的 服务 ， 用 来 维护 主机 名 与 UCP 服 务 之 
间 的 映射 天 系 。HRM 会 接收 所 有 到 达 80 端 口 的 流量 ， 查 看 HTTP 请 求 
头 ， 并 决定 将 其 路 由 到 哪个 服务 。 


下 面 举例 予以 说 明 ， 并 对 一 些 细 市 进行 解释 。 


这 里 瓯 采 用 图 17.20 所 示 的 例子 。 过 程 为 理 先 开局 HRM 的 80 端 口 。 
#24 (# Finigelpoulton/dockerbook: mustang 镜像 部 署 一 个 名 
为 “mustang” 的 服务 ， 并 为 该 服务 创建 一 个 主机 路 由 ， 从 而 所 有 
对 “mustang.internal” 的 请 求 都 会 被 路 由 到 该 服务 。 然 后 使 用 
nigelpoulton/dockerbook:camero 镜像 创建 一 个 名 
为 “camero” 的 服务 ， 并 为 该 服务 创建 一 个 主机 路 由 ， 实 现 该 服务 
*j“mustang.internal” HERAT ° 


读者 也 可 以 使 用 可 解析 的 DNS 域名 ， 比 
如 “mustang.mycompany.com”， 只 需要 配置 好 域名 解析 ， 使 得 所 有 发 问 
这 些 地 址 的 请 求 都 能 够 解析 到 UCP 集 群 前 的 负载 均衡 器 即 可 。 如 果 没 
Amie 那么 可 以 将 流量 指 癌 集群 中 任 一 个 方 点 的 IP。 下 面具 
pies — o 


(1) 登录 到 UCP Web M ° 


(2) 进入 Admin > Admin Settings > Routing Mesh 
(路 由 网 格 ) 。 


(3) 勾 选 Enable Routing Mesh (启用 路 由 网 格 ) 复 选 框 ， 
确保 HTTP Port 配置 为 80 。 


(4) 单 击 Save ° 


这 样 就 完成 了 UCP 集 群 开启 HRM 的 配置 。 这 一 操作 ， 其 底层 会 
署 一 个 名 为 ucp- hrm 的 系统 服务 ， 以 及 一 个 名 为 ucp-hrm 的 覆盖 网 
络 。 


如 果 查 看 ucp-hrm 系统 服务 ， 会 发 现 它 是 以 入 站 模式 (Ingress 
Mode) 发 布 在 89 端口 的 。 也 就 是 说 ucp- hrm 是 部 署 在 集群 上 的 ， 并 
且 会 在 集群 中 的 所 有 节点 上 绑 定 80 端口 。 因 此 ， 到 达 集 群 80 端口 的 
所 有 流量 都 会 被 该 服务 处 理 。 NE 和 Camero 服务 部 署 之 
后 ，ucp-hrm 服务 的 主机 映射 会 被 更 新 ， 它 也 就 知道 如 何 来 进行 流量 
的 路 由 。 


现在 HRM 已 经 部 署 好 了 ， 下 面部 署 服 务 。 
(1) 选择 左 侧 导 航 栏 中 的 Services ， 并 单 击 Create 


Service ° 


(2) 按照 如 下 步骤 部 署 “mustang”。 


Details/Name : mustang ° 

Details/Image : nigelpoulton/dockerbook:mustang ° 
Network/Ports/Publish Port : 单 击 Publish Port + 选项 。 
Network/Ports/Internal Port : 8080 ° 

Network/Ports/Add Hostname Based Routes : 单 击 选项 添加 一 个 
基于 主机 名 的 路 由 。 

Network/Ports/External Scheme : Http:// ° 
Network/Ports/Routing Mesh Host : mustang.internal ° 
Network/Ports/Networks : 确保 服务 接 入 ucp-hrm 网 络 。 


(3) 单 击 Create 来 部 署 服务 。 
(4) 部 署 “camero” 服 务 。 


下 部 堵 该 服务 的 过 程 与 部 署 “mustang 服务 类 似 ， 不 同 之 处 来 自 于 以 


e Details/Name : camero ° 
。 Details/Image : nigelpoulton/dockerbook:camero ° 
。 Network/Ports/Routing Mesh Host : camero.internal ° 


(5) Create ° 


每 个 服务 的 部 署 会 花费 几 秒 时 间 ， 一 旦 完成 ， 就 可 以 在 网 页 浏览 
器 中 进行 测试 了 ， 输 入 mustang.internal 可 以 访问 Mustang 服 务 
( 见 图 17.21) ， 而 camero ,internal 可 以 访问 camero 服 务 。 


为 了 使 nustang,internal flcamero. internal 能 够 被 解析 到 UCP 集 群 ， 
读者 显然 需要 进行 域名 解析 的 配置 。 解 析 的 地 址 即 为 集群 前 的 一 个 负载 均衡 器 ， 从 
而 可 以 将 流量 转发 到 集群 的 80 端 口 。 不 过 如 果 读 者 手中 为 测试 环境 ， 并 没有 负载 均 
衡器 ， 则 可 以 通过 编辑 hosts 文件 的 方式 ， 配 置 域名 到 和 集群 中 某 个 节点 IP 的 映射 。 


下 面 回顾 一 下 其 工作 过 程 。 


HTTP 路 由 网 格 是 运行 于 Swarm 路 由 网 格 传输 层 基 础 之 上 的 一 个 
a UCP 特 性 。 具 体 来 说，HRM 增 加 了 基于 主机 名 规则 的 应 用 层 路 


Mustang FTW! 


Good luck with the DCA exam, and please review the book on 
Amazon :-D!! 


图 17.21 访问 mustang 服 务 


启用 HRM 的 时 候 会 部 秆 一 个 名 为 ucp- hrm 的 UCP 系 统 服务 。 该 
服务 是 Swarm 范围 的 ， 监 听 80 或 443 端 口 。 这 意味 着 所 有 sta ae 
个 端口 之 一 的 流量 都 会 被 发 送 到 ucp-hrm 服务 。 "而 ucp-hrm 服务 
接收 、 解 析 ， 并 路 由 所 有 到 达 集 群 中 的 流量 。 


到 此 已 经 完成 了 两 个 用 户 服务 的 部 署 。 在 部 署 服 务 时 ， 需 要 创建 
基于 主机 名 的 映射 ， 该 映射 会 帘 加 入 ucp-hrm 服务 。“mustang” 服 务 


创建 的 上 映射， 使 得 它 能 够 收 到 所 有 有 到达 80 端 口 的 ，HTTP 头 指 
器“mustang.internal” 的 流量 。“camero” 服 务 与 之 类 似 ， 接 收 所 有 到 达 80 
端口 的 ，HTTP 头 指向 “camero.internal” 的 流量 。 总 体 来 说 ，ucp-hrm 
服务 将 完成 如 下 两 个 任务 。 


。 上 所 有 发 往 “mustang.internal 的 80 端 口 的 流量 都 会 被 转发 
至 “mustang” 服 务 ° 

。 Pra XtE“camero.internal” HY 80% HA Leb RRA 
至 “camero” 服 务 。 


让 我 们 再 次 回顾 图 17.20。 和 希望 到 此 已 经 解释 清楚 了 ! 


17.3 ”本 章 小 结 


UCP 和 DTR 结 合 能 够 为 大 多 数 的 企业 级 组 织 提供 一 整套 有 价值 的 
功能 特性 。 

强大 的 基于 角色 的 访问 控制 是 UCP 的 基础 功能 ， 它 能 对 权限 进行 
细 粒 度 的 管理 一 具体 到 某 个 API 操 作 。 此 外 还 支持 与 活动 目录 和 其 
他 企业 内 LDAP 解 决 方案 的 集成 。 


Docker 内 容 信任 机 制 (DCT) 利用 加 密 原 理 来 确保 对 镜像 相关 操 
作 ， 包括 push、pull 、build 和 run 。 启 用 DCT 后 ， 所 有 推送 到 
远 端 库 的 镜像 都 会 被 签名 ， 所 有 拉 取 的 镜像 也 都 会 被 校 验 。 这 种 机 制 
能 够 从 密码 学 角度 保证 所 需 镜像 的 正确 性 。UCP 可 以 用 来 配置 集群 范 
围 的 案 略 ， 以 要 求 所 有 镜像 进行 签名 。 


DTR 可 被 配置 为 使 用 目 签 名 证 书 或 来 目 可 信 第 三 方 CA 的 证 书 。 用 
户 可 以 设置 DTR 来 执行 二 进 制 级 别 的 镜像 扫 摘 ， 以 分 辨 出 镜像 中 的 缺 
陷 。 此 外 ， 还 可 以 基于 构建 流水 线 来 配置 自动 化 的 镜像 提升 策略 。 


本 章 最 后 介绍 了 HTTP 路 由 网 格 是 如 何 基于 HTTP 头 信息 中 的 主机 
名 来 进行 应 用 层 路 由 的 。 


附录 A ”安全 客户 端 与 daemon 的 通信 


附录 A 中 的 内 容 本 应 放 在 第 3 草 或 者 第 5 草 。 但 是 因为 内 容 实 在 古 
太 长 了 ， 所 以 只 好 放 在 附录 当中 。 


Docker 使 用 了 客户 端 一 服务 出 模型 。 客 户 端 使 用 CLI， 同 时 服务 
ig (daemon) 实现 功能 ， 并 对 外 提供 REST API ° 


客户 端 叫 作 docker (在 Windows 上 是 docker .exe ) ，daemon 
叫 作 dockerd (在 Windows 上 是 dockerd.exe ) 。 默 认 安 装 方式 将 
BF aw AMR HS im See 同一 台 主 机 上 ， 并 且 配 置 通过 本 地 安全 PIC 
Socket 进 行 通信 


e Linux: /var/run/docker.sock ° 
e Windows: //./pipe/docker_engine ° 


不 过 ， 也 可 以 配置 客户 端 和 服务 端 通过 网 络 进行 通信 。 但 是 
daemon 默 认 网 络 配置 使 用 不 安全 的 HITP Socket， 端 口 是 2375/tcp ， 如 
图 A.1 所 示 。 


a a 
4 mamam |PCsock some So 
_—">> 
HTTP 


图 A.1 配置 客户 端 和 服务 端 通过 网 络 进行 通信 


默认 使 用 2375 作为 客户 端 和 服务 端 之 间 未 加 密 通 信 方 式 的 端口 ， 而 2376 则 用 


于 加 密 通信 j 


在 实验 室 这 样 还 可 以 ， 但 是 生产 环境 却 是 不 能 接受 的 。 

TLS 职 是 解决 之 道 ! 

Docker 人 允许 用 户 配置 客 户 端 和 daemon 间 只 接收 安全 的 TLS 方 式 连 
oe 年 这 种 配置 ， 即 使 在 可 信和 内 部 网 络 中 ， 也 建议 如 此 

| 
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e daemon 模式 : Docker daemon 只 接收 认证 客户 端的 链接 。 
。 客户 端 模式 : Docker 客 户 端 只 接收 拥有 证 书 的 Docker daemon 发 
起 的 链接 ， 其 中 证 书 需要 由 可 信 CA 签 发 。 


同时 使 用 两 种 模式 能 提供 最 高 的 安全 等 级 。 
下 面 会 使 用 简单 的 实验 环境 来 完成 Docker 的 daemon 模式 和 客户 
端 模式 TLS 的 配置 过 程 。 


A1 实验 环境 准备 


在 下 面 的 章节 中 会 使 用 一 个 简单 实验 环境 。 环 境 中 包括 3 个 Linux 
PA, DAD HCA ` Docker A tn LAN Docker daemon。 很 关键 的 一 点 
是 ，3 个 主机 之 间 可 以 互相 通过 名 称 解 析 。 


node1 会 配置 为 Docker 客 户 端 ，node3 会 配置 为 Docker 安 全 
daemon, node2 会 配置 为 CA 。 


读者 可 以 按照 下 面 内 容 在 目 己 的 环境 进行 实验 ， 但 是 在 下 面 示例 
中 用 到 的 名 称 和 IP 如 图 A.2 所 示 。 


图 A.2 示例 环境 


总 体 来 说 步骤 如 下 。 

(1) 配置 CA 和 证 书 。 
创建 CA (BZZ) 。 
创建 并 为 daemon 签 发 密 钥 。 
他 EHNEN MER EH o 

(2) 配置 Docker 使 用 TLS。 


。 配置 daemon 模 式 。 
。 配置 客户 端 模式 。 


A.1.1 创建 CA ( 自 签名 ) 


如 果 在 实验 环境 操作 ， 只 需要 完成 下 面 的 步骤 ， 来 搭建 签名 证 书 
所 需 的 CA 。 当然 ， 这 也 只 是 构建 一 个 简单 的 CA， 方便 演示 如 何 配置 
Docker， 并 不 会 尝试 构建 生产 环境 级 别 PKI ° 

在 实验 环境 CA 节点 运行 下 面 的 命令 。 

(1) 为 CA 创建 新 的 私 钥 。 


在 操作 过 程 中 需要 设置 密码 。 


$ openssl genrsa -aes256 -out ca-key.pem 4096 


Generating RSA private key, 4096 bit long daar 


e is 65537 (0x10001) 
Enter pass phrase for ca-key.pem: 
Verifying - Enter pass phrase for ca-key.pem: 


在 当前 目录 下 会 生成 一 个 名 为 ca-key ,pem 的 新 文件 ， 这 就 是 
CA 私 钥 。 


(2) 使 用 CA 私 钥 来 生成 公 钥 (证书) 。 
需要 输入 前 面 过 程 中 设置 的 密码 。 


$ openssl req -new -x509 -days 730 -key ca-key.pem -Sha256 -out 
ca.pem 


工作 目录 下 又 出 现 第 二 个 文件 ， 名 为 ca,pem ， 这 是 CA 的 公 钥 ， 
或 者 说 “证 书 ”。 


现在 当前 目录 下 有 了 两 个 文件 ， ca- Koyapen 和 ca .pem ， 这 就 
是 CA 的 私 钥 和 公 钥 ， 也 是 CA 的 身份 凭证 


A.1.2 为 daemon 创 建 密 钥 对 


在 本 步骤 中 ， 会 为 node3 生 成 新 的 密 钥 对 。 该 和 点 准备 运行 Docker 


安全 daemon。 一 共 分 4 步 。 
(1) 创建 私 钥 。 
(2) 创建 签名 请 求 。 
(3) 添加 IP 地 址 ， 并 设置 为 服务 端 认证 有 效 。 
(4) 生成 证 书 。 


在 CA 节点 (node2) 运行 全 部 命令 。 


(1) 为 daemon 创 建 私 钥 。 


$ openssl genrsa -out daemon-key.pem 4096 
<Snip> 


在 当前 工作 目录 下 已 经 创建 了 名 为 daemon -key ,penm 的 新 文 
件 ， 这 就 是 daemon 贡 点 的 私 钥 。 


(2) 创建 证 书签 名 请 求 (CSR) 并 发 送 到 CA， 这 样 就 可 以 完成 
daemon 证 书 的 创建 和 签名 。 要 确保 使 用 正确 的 DNS 名 称 来 指 代 想 要 运 
行 Docker 安 全 daemon 的 和 节点。 示例 中 使 用 了 node3。 


$ openssl req -Subj "/CN=node3" \ 


-sha256 -new -key daemon-key.pem -out daemon.csr 


现在 工作 目录 下 有 了 第 四 个 文件 。 该 文件 是 CSR， 名 称 为 


daemon.csr ° 
(3) 为 证 书 添加 属性 。 
需要 创建 一 个 文件 ， 其 中 包含 了 CA 签发 证 书 时 需要 加 入 到 
daemon 证 书 的 扩展 属性 。 这 些 属性 包括 daemon 的 DNS 名 称 和 了 地 址 ， 
同时 配置 证 书 使 用 服务 端 认 证 。 


创建 的 新 文件 名 为 extfile,cnf ， 包 含 下 面 列举 的 值 。 示 例 中 
J 了 图 A.2 中 daemon 节 后 的 DNS 名 称 和 IP。 读 者 环境 中 的 值 可 能 会 有 


subjectAltName = DNS:node3,IP:10.0.0.12 


extendedKeyUsage = serverAuth 


(4) 生成 证 书 。 


使 用 CSR 文 件 、CA 密 钥 、extfile .cnf 文件 完成 签名 以 及 
daemon 证 书 配置 。 命 令 和 输出 中 包含 daemon 的 公 钥 (证书 ) 和 一 个 名 为 
daemon-cert.perm 的 文件 。 


$ openssl x509 -req -days 730 -sha256 \ 
-in daemon.csr -CA ca.pem -CAkey ca-key.pem \ 


-CAcreateserial -out daemon-cert.pem -extfile extfile.cnf 


此 时 ， 已 经 拥有 了 一 个 可 用 的 CA， 同 时 运行 Docker 安 全 daemon 的 
node3 市 点 也 有 了 上 自己 的 一 对 密 钥 。 


继续 下 面 内 容 之 前 ， 删 除 CSR 和 extfile.cnf 。 


$ rm daemon.csr extfile.cnf 


A.1.3 为 客户 端 创建 密 钥 对 
FEAR, ei j 面 对 于 node3 的 操作 在 Docker 客 户 端 万 点 
node1 上 重复 一 授 。 
在 CA (node2 ) 上 运行 全 部 命令 。 
(1) 为 nodel 创 建 密 钥 。 
这 会 在 工作 日 录 下 创建 名 为 client-key.pem 的 新 文件 。 


$ openssl genrsa -out client-key.pem 4096 


(2) 创建 CSR。 确 保 所 使 用 的 节点 DNS 名 称 是 正确 的 ， 该 节点 对 
应 Docker 安 全 客户 端 。 示 例 中 使 用 node1。 


$ openssl req -subj '/CN=node1i' -new -key client-key.pem -out 


client.csr 


该 命令 会 在 当前 目录 下 创建 各 为 dlient.csr 的 新 文件 。 
(3) 创建 名 为 extfile.cnf 的 文件 ， 并 用 下 面 的 值 填充 。 这 样 
会 将 证 书 设 置 为 客户 端 认 证 可 用 。 


extendedKeyUsage = clientAuth 


(4) 使 用 CSR、CA 公 钥 、 私 铀 和 extfile,cnf 为 nodel 创建 
证 书 。 该 步骤 会 在 当前 目 孙 下 创建 名 为 client-cert,penm 的 客户 端 
公 钥 。 


$ openssl x509 -req -days 730 -sha256 \ 
-in client.csr -CA ca.pem -CAkey ca-key.pem \ 


-CAcreateserial -out client-cert.pem -extfile extfile.cnf 


删除 CSR #lextfile.cnf 文件 ， 因 为 不 会 再 用 到 它们 了 。 


$ rm client.csr extfile.cnf 


此 时 ， 在 工作 目录 下 应 该 有 如 下 7 个 文件 。 


ca-key.pem CA private key 

ca.pem CA public key (cert) 
ca.srl Tracks serial numbers 
client-cert.pem client public key (Cert) 


client-key.pem client private key 
daemon-cert.pem daemon public key (cert) 
daemon-key.pem daemon private key 


在 继续 之 前 ， 需 要 移 除 密 钥 文件 的 写 权 限 ， 将 密 钥 文件 对 自己 以 
及 其 他 属于 当前 组 的 用 户 变 为 只 读 。 


$ chmod 0400 ca-key.pem client-key.pem daemon-key.pem 


A.1.4 分 发 密 钥 


现在 已 经 有 了 全 部 的 密 铀 和 证 书 ， 是 时 候 将 他 们 分 发 到 客户 端 和 
daemon AET 。 复 制 如 下 文件 。 


。 从 CA 复制 ca.pem、daemon-cert,pem ， 以 及 daemon - 
key .pem 到 node3 (daemon 节 点 ) 

e 从 CA 复制 ca ,pem 、client-cert.pem， 以 及 client- 
key.pem 到 deno1 (客户 端 节点 ) 


下 面 会 介绍 如 何 使 用 scp 完成 复制 操作 ， 读 者 也 可 随意 选择 其 他 
工具 使 用 。 


在 node2 (CATIA) 密 钥 所 在 目录 下 运行 下 面 的 命令 。 


// Daemon files 

$ scp ./ca.pem ubuntu@daemon:/home/ubuntu/.docker/ca.pem 

$ scp ./daemon-cert.pem 

ubuntu@daemon: /home/ubuntu/.docker/cert.pem 

$ scp ./daemon-key.pem ubuntu@daemon:/home/ubuntu/.docker/key.pem 
//Client files 


$ scp ./ca.pem ubuntu@client:/home/ubuntu/.docker/ca.pem 

$ scp ./client-cert.pem 
ubuntu@client:/home/ubuntu/.docker/cert.pem 

$ scp ./client-key.pem ubuntu@client:/home/ubuntu/.docker/key.pem 


天 于 命令 需要 注意 以 下 几 点 。 


(1) 第 2、3、5 以 及 第 6 条 命令 在 复制 过 程 中 对 文件 进行 了 重 命 
名 。 重 命名 非常 重要 ， 因 为 Docker 对 文件 的 命名 规范 有 规定 。 


(2) 命令 假设 使 用 的 环境 是 Ubuntu Linux， 并 且 使 用 ubuntu 作 
为 用 户 账户 。 


(3) 在 执行 命令 前 ， 需 要 分 别 在 daemon 和 客户 端 所 在 节点 上 提 
前 创建 /home/ubuntu/.docker 这 个 隐藏 目录 。 此 外 还 需要 修 
改 .docker 目录 的 权限 ， 人 允许 复制 操作 执行 。 可 以 使 用 chmod 
777.docker ， 但 这 种 方式 并 不 安全 。 切 记 ， 当 前 只 是 为 了 快速 创建 


一 个 CA 和 证 书 ， 才 可 以 这 么 做 。 在 安全 的 PKI 构 建 中 该 操作 决 不 允 


许 。 


(4) 如 果 当 前 环境 是 AWS， 需 要 在 每 条 命令 之 后 通过 -i <key> 
来 指定 实例 的 私 钥 。 


当前 环境 如 图 A.3 所 示 。 


节点 2 


a 


10.0.0.11 


CA key-pair 


AN 


daemon 键 值 对 名 


客户 端 
10.0.0.10 


CA 证 书 “> daemon 
10.0.0.12 


图 A.3 更 新 密 钥 后 的 环境 


nodei 和 node3 世上 点 只 会 信任 由 其 CA 公 钥 签名 的 CA 以 及 证 书 。 


配置 了 正确 的 证 书后 ， 就 可 以 开始 配置 Docker 的 客户 端 和 daemon 
使 用 TLS 了 。 


A.2 ”配置 Docker 使 用 TLS 


前 文 提 到 ，Docker 支 持 两 种 TLS 模 式 。 


。 daemon 模 式 。 
。 AP iter ° 


daemon 模 式 保证 daemon 只 处 理 来 目 拥 有 有 效 证 书 的 客户 端 发 起 的 
连接 ， 客 户 端 模式 使 得 客户 端 只 能 连接 到 拥有 有 效 证 书 的 daemon。 


下 面 会 将 nodel1 上 的 daemon 配 置 为 daemon 模 式 并 进行 验证 ， 然 后 
会 将 node2 广 点 上 的 客户 端 进程 配置 为 客户 端 模式 并 进行 验证 。 


A.2.1 为 Docker daemon 配 置 TLS 


局 动 daemon 安 全 模式 ， 只 需 在 daemon.json 配 置 文件 中 增加 几 个 守 
护 参 数 即 可 。 


e tlsverify: 开启 TLS 认 证 。 

e tlscacert: 指定 daemon 可 信任 的 CA。 

e tlscert: 问 Docker 指 定 daemon 证 书 的 位 置 。 

e tlskey: 加 Docker 指 定 daemon 私 钥 的 位 置 。 

e hosts: 和 同 Docker 指 定 需要 绑 定 daemon 的 具体 Socket 。 


上 述 内 容 配置 在 与 平台 无 关 的 daemon., json 配置 文件 当中 。 在 
Linux 上 位 于 /etc/docker ， 在 Windows 上 位 于 
C:\ProgramData\Docker\config\ ° 


在 Docker 安 全 daemon 贡 点 上 执行 下 面 的 全 部 操作 (在 示例 环境 中 
是 node3 ) 。 


编辑 daemon, json 文件 ， 并 添加 如 下 行 。 


"hosts": ["tcp://node3:2376"], 

"tls": true, 

"tlsverify": true, 

"tlscacert": "/home/ubuntu/.docker/ca.pem", 
"tlscert": "/home/ubuntu/.docker/cert.pem", 


"tlskey": "/home/ubuntu/.docker/key.pem" 


运行 systemd 的 Linux 系 统 不 允许 在 daemon. json 中 使 用 “hosts” 选 项 。 替 换 方 
案 是 在 systemd 配 置 文件 中 进行 重 写 。 最 简单 的 方式 是 通过 sudo systemdctl 
edit docker 命令 进行 修改 。 该 命令 会 在 编辑 器 中 打开 名 


i/etc/systemd/system/docker.service.d/override.conf 的 新 文件 。 
在 其 中 加 入 下 列 3 行内 容 ， 然 后 保存 。 


[Service 


ExecStart= 
ExecStart=/usr/bin/dockerd -H tcp://node3:2376 


现在 TLS 和 主机 选 型 都 设置 完成 ， 征 时 候 重 局 Docker 了 。 


一 旦 Docker 重 局 完成 ， 可 以 使 用 ps 命令 ， 根 据 其 输出 内 容 检查 新 
的 hosts 值 是 否 生效 。 


$ ps -elf | grep dockerd 
4 S root ... /usr/bin/dockerd -H tcp://node3: 2376 


输出 内 容 中 如 果 有 “-H tcp://node3:2376”， 则 可 以 证 明 
daemon 正 在 监听 网 络 。 端 口 2376 是 Docker TLS 使 用 的 标准 端口 。 
2375 默认 是 非 安全 端口 。 


如 果 运 行 的 是 普通 命令 ， 会 出 现 无 法 工作 的 情况 ， 如 docker 
version 。 这 是 因为 刚才 配置 了 daemon 监 听 网 络 ， 但 是 Docker 客 户 
端 仍 尝 试 使 用 本 地 IPC Socket。 加 上 -H tcp://node3:2376 参数 后 
再 次 运 云 行 该 命令 。 


$ docker -H tcp://node3:2376 version 
Client: 

Version: 18.01.0-ce 

API version: 1.35 

<Snip> 


Get http://daemon:2376/v1.35/version: net/http: HTTP/1.x transport 
connectio\ 

n broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02". 

* Are you trying to connect to a TLS-enabled daemon without TLS? 


命令 看 起 来 没什么 问题 ， 但 是 仍然 不 工作 。 这 是 因为 daemon 拒 绝 
了 来 目 未 认证 客户 端的 连接 。 


7S= o Docker daemon 已 经 配置 为 监听 网 络 ， 并 且 拒 绝 了 来 目 未 认 
证 客户 端的 连接 。 


接 下 来 配置 nodel 方 点 上 的 Docker dlient 使 用 TLS。 


A.2.2 ”为 Docker 客 户 端 配 置 TLS 


本 和 将 从 以 下 两 方面 配置 node1 节 点 上 的 Docker 客 户 端 。 


。 通过 网 络 连 接 某 个 远程 daemon 。 
。 为 所 有 docker 命令 进行 签名 。 


在 将 要 运行 Docker 安 全 客户 端的 节点 上 (示例 环境 中 为 nodedl ) 
执行 下 面 的 全 部 命令 。 


配置 下 列 环境 ， 使 客户 端 可 以 通过 网 络 连 接 到 远 端 daemon ° 
党 试 下 面 的 命令 。 


$ docker version 

Client: 

Version: 18.01.0-ce 

<Snip> 

Get http://daemon:2376/v1.35/version: net/http: HTTP/1.x transport 


connectio\ 
n broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02". 
* Are you trying to connect to a TLS-enabled daemon without TLS? 


7 Docker% 户 端 通过 网 络 发 送 命令 到 远 端 daemon， 但 是 daemon 只 接 
收受 认证 的 连接 © 


设置 另外 一 个 环境 变量 ， 告 知 Docker 客 户 端 使 用 自己 证 书 对 全 
命令 进行 签名 。 


export DOCKER_TLS_VERIFY=1 


再 次 运行 docker version 命令 。 


$ docker version 
Client: 
Version: 18.01.0-ce 
<Snip> 
Server: 
Engine: 
Version: 18.01.0-ce 


API version: 1.35 (minimum version 1.12) 
Go version: go1.9.2 

Git commit: 03596f5 

Built: Wed Jan 10 20:09:37 2018 
OS/Arch: linux/amd64 

Experimental: false 


茶 喜 。 客 户 端 成 功 通 过 安全 连接 与 远程 daemon 完 成 通信 。 最 终 配 
置 如 图 A.4 所 示 。 


a a "hosts": ["“tcp://node3:2376"], 
H ann "tls": true, 

“tlsverify": true, 
“tlscacert": "/../ca.pem", 
客户 端 "tlscert": "/../cert.pem", 
“tlskey": “/../key.pem" 


DOCKER_HOST=tcp: //node3: 2376 
DOCKER_TLS_VERIFY=1 


10.0.0.10 


图 A.4 ”最 终 配置 
在 进行 快速 回顾 前 ， 有 几 点 需要 说 明 一 下 。 


(1) 最 后 的 示例 可 以 成 功 ， 是 因为 将 客户 端 TLS 密 钥 复制 到 了 
Docker 期 望 的 目录 下 。 该 目录 位 于 用 户 home 目 录 下 ， 名 为 . docker 
o 同时 密 钥 也 修改 为 Docker 期 望 的 名 称 (ca.pem »cert.pem, 以 
及 key.pem ) 。 可 以 通过 配置 环境 变量 DOCKER_CERT_PATH 来 指定 
其 他 的 目录 。 


(2) 读者 可 能 希望 持久 化 环境 中 的 变量 (DOCKER_HOST 和 
DOCKER_TLS VERIFY) œ 


A.3 Docker TLS 回 顾 


daemon 模式 会 拒绝 那些 没有 有 效 签名 WAP ima, AP ee xl 
PEP inh SERA AROERI daemon 。 


通过 Docker daemon 配 置 文件 完成 daemon 的 TLS 配 置 。 文 件 名 为 


daemon. json ， 是 路 平台 的 。 


下 面 的 daemon ,json 可 以 在 大 部 分 操作 系统 中 使 用 。 


"hosts": ["tcp://node3:2376"], 

"tls": true, 

"tlsverify": true, 

"tlscacert": "/home/ubuntu/.docker/ca.pem", 
"tlscert": "/home/ubuntu/.docker/cert.pem", 


"tlskey": "/home/ubuntu/.docker/key.pem" 


hosts 告诉 Docker daemon 需 要 绑 定 的 Socket。 示 例 中 将 其 绑 定 到 
了 某 个 网 络 的 2376 端 口上 。 用 户 可 以 选择 任意 空闲 端口 ， 但 按 惯 
例 Docker 安 全 连接 都 使 用 2376 端 口 。 使 用 systemd 的 Linux 系 统 
不 能 配置 该 参数 ， 需 要 使 用 Systemd 重 写 文 件 来 实现 。 

tls filtlsverify 强制 daemon 只 使 用 加 密 和 认证 连接 。 
tlscacert 告诉 Docker 可 以 信任 的 CA。 配 置 后 Docker 会 信任 由 
该 CA 签发 的 全 部 证 书 。 

tlscert 告诉 Docker daemon 证 书 的 位 置 。 

tlskey 告诉 Docker daemon 私 钥 的 位 置 。 


修改 上 述 任意 配置 ， 都 需要 重启 Docker 后 才能 生效 。 
只 需 设置 两 个 环境 变量 ， 就 可 以 完成 Docker 客 户 端 TLS 配 置 。 


e DOCKER_HOST ° 


e DOCKER TLS VERIFY ° 
DOCKER_HOST 为 客户 端 指 定 如 何 查找 daemon 。 


export DOCKER_HOST=tcp://node3: 2376 让 Docker 客 户 端 
通过 主机 node3 的 2376 端口 连接 到 daemon。 


export DOCKER_TLS_VERIFY=1 使 Docker 客 户 端 对 其 发 出 的 
全 部 命 令 都 进 井 行 签名 。 


附录 B DCA 考 试 


本 附 永 中 关于 DCA 考 试 的 建议 ， 可 能 会 随时 间 而 过 时 。 
我 在 领 英 上 创建 了 组 织 ， 用 于 分 至 考试 经 验 和 建议 。 


。 网 站 是 dockercerts， 现 在 正在 开发 中 。 
。 领 英 上面 的 组 叫 作 Docker Certified Associate (DCA) ° 


B.1 其 他 对 考试 有 帮助 的 资料 


在 本 书 编写 时 ， 本 书 是 唯一 涵盖 DCA 认 证 考试 全 部 内 容 的 资料 。 


同时 还 有 一 份 教学 视频 涵盖 了 大 部 分 考试 内 容 ， 并 且 能 帮助 读者 
很 好 地 复习 本 书 所 学 知识 。 


MRE TERR, 并且 很 有 趣味 性 ， 同 时 评价 很 高 ! 看 一 看 大 
家 的 评价 吧 ( 见 图 B.1) ° 


Jose Gomez @pipoe2h : Jan 13 Vv 
@Docker Deep Dive by @nigelpoulton in @pluralsight is a master piece. Great 


job, IMHO your best course at the moment. #Docker #Containers #DevOps 


Deepak koshal @Deepakkoshal - Jan 16 v 
Replying to @nigelpoulton @Docker 

| feel so lucky to have you as my trainer. You got me from zero to Docker in true 
sense and now DCA. In-between is it normal to see flying whales @j in the 
dream? 


Rubén Campos @rucamzu - Jan 18 Vv 
© | completed the first three @pluralsight courses in the @Docker path by 

@nigelpoulton, including the Deep Dive!! Tons of good stuff in there, and extra 

kudos to Nigel for making the courses so much the more enjoyable. Thanks!! 


图 B.1 视频 课程 评价 


Elias Valdez @sailevc » Jan 28 v 
Just finished your Docker Deep Dive Architecture & Theory module recap. 


Answering to your “Is this good?” question: yeah, it's awesome. It's always good 
to know the how and why and you made it not boring at all. It was quite the 
contrary, actually. @nigelpoulton 


Emmanuel Ballerini @emballerini - Feb 4 v 
8 Just finished "Docker deep dive" on @pluralsight by @nigelpoulton Great course! 
Highly recommended to anyone who wants to learn how Docker really works! 


Justin Hartman @STLJHartman : Jan 19 v 
From zero to Proficient in a few weeks, thanks @nigelpoulton for creating 
amazing @pluralsight #docker courses. Keep on creating!! Your training style is 
excellent and enthusiasm is addictive. I'm all in and looking forward to getting an 
expert score in the near future. 


图 B.1 ”视频 课程 评价 ( 续 ) 
如 果 对 在 视频 课程 上 消费 尚 存疑 虑 的 话 ， 再 看 如 下 两 点 。 
。 课程 对 通过 DCA 考 试 很 有 帮助 ! 


。 Pluralsight 一 直 有 免费 试听 。 可 以 注册 并 试验 是 否 喜欢 该 课程 ， 我 
认为 你 会 喜欢 的 | 


B.2 考试 内 容 与 章节 的 对 应 


下 面 列 出 了 考试 内 容 与 草 市 的 对 应 关系 。 实 际 考 试 内 容 对 应 的 草 
Tees, CHER Mh [ERT ° 


第 1 部 分 : 服务 编排 (考试 占 比 25%) 


2 安装 ， 其 中 包括 管理 者 和 工作 者 : 第 10 


。 列 出 运行 容器 与 运行 服务 的 区 别 : 第 10 章 和 第 14 章 。 

。 展示 锁定 Swarm 集群 的 步骤 : 第 10 章 。 

扩展 指令 来 完成 对 Swarm 中 运行 状态 服务 添加 独立 容 絮 并 运行 : 
第 10 章 和 第 14 章 。 


解释 “docker inspect” 指 令 的 输出 内 容 ， 多 个 章节 。 

将 应 用 部 署 过 程 转换 为 YAML 格 式 的 栈 文 件 ， 并 通过 docker 
stack deploy 部 署 : 第 14 章 。 

副本 扩容 :第 10 章 和 第 14 章 。 

添加 网 络 、 发 布 端口 : 第 9、11、12 以 及 14 章 。 

挂 载 卷 : 第 9 章 和 第 13 章 。 

前述 如 何 运行 一 个 多 副本 的 /全 局 的 服务 : 第 10 章 。 

。 如 何 诊断 未 部 署 服务 : 第 14 章 。 

使 用 节点 标签 来 演示 任务 的 调度 : 第 14 章 。 

描述 容器 化 应 用 如 何 与 现存 系统 完成 通信 第 11 章 。 
解释 quorum 在 Swarm 集群 中 的 重要 性 : 第 10 章 和 第 16 章 。 
展示 模板 在 Docker 服务 创建 中 的 作用 : 第 10 章 。 


第 2 部 分 : 镜像 创建 、 管 理 和 仓库 服务 (考试 占 
比 20%) 


。 描述 Dockerfile 可 选项 (add ` copy ` volume ` expose ` entrypoint 
等 ) : 第 8 章 和 第 9 章 。 
eae. 第 8 章 和 第 9 章 。 
举例 说 明 如 何 通过 Dodkerfile 创 建 有 效 镜像 ， 第 8 章 。 
使 用 CLI 命 令 来 管理 镜像 ， 如 list、delete、prune、rmi 等 ， 第 6 章 。 
查看 镜像 并 使 用 筛选 和 格式 化 功能 报告 指定 属性 ， 第 6 章 。 
演示 为 镜像 添加 标签 : 第 6 章 和 17 章 。 
利用 镜像 仓 ERAN A: 第 17 章 。 
展示 镜像 分 层 : 第 6 
创建 包含 指 定 文件 的 镜像 第 8 章 。 
修改 镜像 指定 镜像 层 : 第 8 章 。 
HCE Be] TIER: 第 8 章 。 
部 署 镜像 仓库 服务 〈 非 架构 ) : 第 16 章 。 
配置 镜像 仓库 服务 : 第 16 章 和 第 17 章 。 
登录 镜像 仓库 服务 : 第 6 章 和 第 17 章 。 
。 在 镜像 仓库 服务 中 进行 检索 : 第 6 章 。 
为 镜像 打 标 签 : 第 6 章 和 第 17 章 。 
推送 镜像 到 镜像 仓库 服务 : 第 8 章 和 第 17 章 。 
为 镜像 仓库 服务 中 镜像 签名 : 第 17 章 。 


拉 取 镜像 仓库 服务 中 镜像 : 第 6 章 。 
描述 镜像 删除 的 原理 : 第 6 章 和 第 17 章 。 
从 镜像 仓库 服务 中 删除 某 个 镜像 ， 第 17 章 。 


第 3 部 分 : 安装 和 配置 (考试 占 比 15%) 


演示 升级 Docker 引 擎 : 第 3 章 。 

完成 镜像 仓库 安装 、 选 择 存储 引擎 ， 并 且 完 成 多 平台 Docker 引 警 

安装 : 第 3 章 。 

安装 Swarm、 配 置 管理 者 、 添 加 节点 ， 并 且 设 定 周期 备份 : 第 10 

章 和 第 16 章 。 

创建 并 管理 用 户 和 组 : 第 16 章 和 第 17 章 。 

安装 前 如 何 进 行 需求 评估 : 第 16 章 。 

理解 命名 空间 ，CGroup 以 及 证 书 配置 : 第 5、15、16 章 以 及 附录 

A o 

使 用 基于 证 书 的 客户 端 一 服务 端 认 证 模式 来 保证 Docker daemon 对 
镜像 仓库 服务 中 的 镜像 有 权限 进行 访问 : 第 17 章 。 

分 别 介绍 本 地 化 部 署 和 在 AWS 上 部 署 Docker 引 擎 、UCP 以 及 DTR 
的 步骤 ， 包 括 高 可 用 配置 : 第 16 章 和 第 17 章 。 

完成 UCP 和 DTR 的 备份 配置 : 第 16 章 。 

启动 时 配置 Docker daemon: 第 3 章 。 


第 4 部 分 : 网 络 (考试 占 比 15%) 


创建 开发 者 容器 所 用 的 Docker 网 桥 : 第 11 章 。 
调试 容器 和 引擎 日 志 来 定位 容器 间 连 接 问 题 ， 第 11 章 。 
ee 可 以 在 外 部 访问 : 第 7、9、10、11、14 以 及 17 


确认 当前 容器 可 访问 的 IP 和 端口 : 第 7、9、11、17 章 。 

描述 内 置 网 络 驱 动 的 不 同 ， 以 及 对 应 应 用 场景 ， 第 11 章 。 
理解 容 圳 网 络 模型 ， 以 及 Docker 引 警 、 网 络 与 IPAM 豫 动 之 间 是 如 
何 交 互 的 : 第 11 章 i 

配置 Docker 使 用 外 部 DNS: 第 11 章 。 


。 使 用 Docker 实 现 应 用 的 HTTP/HTTPS 流 量 的 负载 均衡 (使 用 
Docker EE 实 现 7 层 负载 均衡 ) : 第 17 章 。 

。 理解 并 描述 Docker 引 警 、 镜 像 仓 库 服务 以 及 UCP 欣 制 器 之 间 的 流 
量 类 型 : 第 6、17 章 ， 以 及 附录 A。 

。 基于 Docker Overlay 网 络 部 署 服务 : 第 10、12 以 及 14 章 。 

。 描述 “Host”" 以 及 “Ingress” 端 口 发 布 模式 的 区 别 : 第 11 章 和 第 14 章 。 


第 5 部 分 : 安全 (考试 占 比 15%) 


。 描述 如 何 对 镜像 签名 : 第 6、15 和 17 章 。 

。 演示 对 镜像 的 安全 扫描 : 第 15 章 和 第 17 章 。 

。 开启 Docker 内 容 信任 : 第 15 章 和 第 17 章 。 

。 在 UCP 中 配置 RBAC: 第 17 章 。 

。 在 UCP 中 集成 LDAP/AD: 第 17 章 。 

。 演示 如 何 创建 UCP Client 绑 定 : 第 16 章 和 第 17 章 。 

。 演示 如 何 创建 UCP Client 绑 定 : 第 15 章 。 

。 描述 Swarm 默认 安全 配置 : 第 10 章 和 第 15 章 。 

。 描 述 MTLS: 第 15 章 和 第 17 章 。 

。 角 色 认 证 : 第 17 章 。 

。 描 述 UCP 工 作者 和 管理 者 之 间 的 区 别 : 第 16 章 和 第 17 章 。 
。 描述 在 UCP 和 DTR 中 使 用 外 部 证 书 的 过 程 : 第 16 章 和 第 17 章 。 


第 6 部 分 : 存储 和 卷 〈 考 试 占 比 109%6) 


。 陈述 不 同 操作 系统 应 使 用 的 图 驱动 : 第 3 章 和 第 13 章 。 

。 演示 如 何 配 置 Device Mapper: 第 3 章 。 

。 比较 对 象 存 储 和 块 存 储 ， 并 解释 对 应 可 用 场景 ， 第 13 章 。 

° e 以 及 如 何在 文件 系统 中 存储 第 6 章 和 
13 ° 

。 描述 Docker 如 何 使 用 卷 完成 持久 化 存储 : 第 13 章 和 第 14 章 。 

。 描述 清理 文件 系统 和 DTR 中 无 用 镜像 的 步骤 : 第 13 章 和 第 17 章 。 

。 演示 存储 如 何 实现 跨 集群 应 用 : 第 13 章 和 第 17 章 。 


附录 C 延伸 


希 户 读者 能 对 Docker 充 满目 信 ， 并 且 准 备 好 去 参加 DCA 考 试 ! 34 
运 的 是 ， 开 始 下 一 步 的 容器 之 旅 非 常 位 单 ! 


C.1 练习 


搭建 基础 架构 和 运行 工作 负载 从 未 如 此 简单 。 因 为 Mac 版 Docker 
和 Windows 版 Docker 的 存在 ， 在 笔记 本 上 运行 Docker 并 开展 相应 研发 
工作 已 经 非常 简单 。Play with Docker 是 一 个 免费 的 在 线 Docker 环 境 ， 
可 以 帮 用 户 随 时 随地 联系 Docker， 直 到 成 长 为 世界 级 权威 ! 


C.2 ”视频 训练 

我 在 Pluralsight 已 经 创建 了 大 量 且 广 受 好 评 的 教学 视频 。 如 果 不 是 
Pluralsight= i, MERKENE! 虽然 不 是 免费 的 ， 但 是 物 有 所 
值 ! 如 果 还 未 下 定 决心 ，Pluralsight 也 提供 了 教学 视频 的 免费 版 ， 不 过 
有 一 定 的 时 间 限 制 。 


C.3 证书 


现在 有 官方 途径 能 证 明 Docker 专 业 技 术 ! 我 已 经 得 到 认证 ( 见 图 
C.1) ， 并 推荐 读者 也 进行 相关 认证 。 


C.4 社区 活动 


强烈 推荐 读者 能 够 参加 社区 活动 ， 比 如 DockerCon 以 及 当地 
Docker 聚 会 。 如 果 见 到 我 ， 一 定 要 记得 打招呼 啊 ! 


Nigel Poulton 


docker 


Docker Certified Associate 


图 C.1 Docker 专 业 技 术 认 证 


C.5 回馈 


非常 感谢 阅读 本 书 。 也 非常 希望 本 书 能 帮助 到 您 ! 
现在 请 允许 我 一 个 小 小 的 请 求 .……. 
写作 本 书 花 费 了 很 多 精力 ! 希望 本 书 能 为 您 带 来 更 多 机 遇 。 如 果 
喜欢 的 话 ， 在 Amazon 给 本 书 五 星 好 评 吧 〈 见 图 C.2) ! 
Docker 
Deep Dive 
kkk y 40 customer reviews 
Docker Deep Dive 
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Nigel Poulton 


Alc.2 Amazon 上 的 原版 图 书 


引用 William Shakespeare 的 一 句 话 “相爱 之 人 应 当 互 诉 衷 肠 
如 有 果 喜 欢 本 书 的 话 ， 束 用 五 星 好 评 来 告诉 我 吧 ! 


YI @nigelpoulton 


结束 x 巡 仅 仅 是 开始 …… 


…… 职 业 生涯 的 更 多 精彩 篇 章 ! 


ee DTE 


